Не удается проверить что сертификат принадлежит microsoft root
Как проверить хранилище сертификатов Windows на предмет недоверенных корневых сертификатов
К слову, подобные случаи не так уже и редки, можно привести массу и других примеров, в которых инсталлируемое программное обеспечение, с виду совершенно безопасное, устанавливало или подменяло корневые сертификаты. Все это еще раз говорит о том, что при установке новых приложений не помешало бы проявлять осторожность, также важно понимать какие программы и сертификаты предустановлены в системе самим производителем компьютерной техники.
Если утилита запросит подтверждение, нажмите в открывшемся окошке «Agree».
После этого Sigcheck должна загрузить с сайта Microsoft файл authrootstl.cab со списком доверенных сертификатов и поместить его в папку со своим исполняемым файлом. Если этого не произойдет, скачайте файл самостоятельно по ссылке yadi.sk/d/5c6Mp2Xy3GTFLG и забросьте его в каталог с утилитой Sigcheck, а приведенную выше команду выполните еще раз.
Впрочем, это еще не означает, что сторонние сертификаты нужно немедленно удалять.
Если сертификат не вызывает у вас доверия, равно как и установленная некогда программа, можете удалить его.
Для этого откройте командой MMC консоль оснастки, в меню «Файл» выберите команду «Добавить или удалить оснастку».
В левой колонке открывшегося окошка выделите мышкой «Сертификаты», нажмите кнопку «Добавить», затем «OK».
После того как в окне появится список сертификатов, разверните в левой колонке каталог «Доверенные корневые центры сертификации» и удалите найденные в Sigcheck сертификаты.
Проверка хранилища сертификатов Windows на наличие недоверенных корневых сертификатов
Пользователям Windows все более тщательное внимание стоит уделать установленным на компьютере сертификатам. Недавние скандалы с сертификатами Lenovo Superfish, Dell eDellRoot и Comodo PrivDog лишний раз свидетельствуют о том, что пользователю нужно быть внимательным не только при установке новых приложений, но и четко понимать, какое ПО и сертификаты предустановлены в системе производителем оборудования. Через установку поддельных или специально сгенерированных сертификатов злоумышленники могут осуществить атаки MiTM (man-in-the-middle), перехватывать трафик (в том числе HTTPS), разрешать запуск вредоносного ПО и скриптов и т.п.
Как правило такие сертификаты устанавливаются в хранилище доверенных корневых сертификатов Windows (Trusted Root Certification Authorities). Разберемся, каким образом можно проверить хранилище сертификатов Windows на наличие сторонних сертификатов.
В общем случае в хранилище сертификатов Trusted Root Certification Authorities должны присутствовать только доверенные сертификаты, проверенные и опубликованные Microsoft в рамках программы Microsoft Trusted Root Certificate Program. Для проверки хранилища сертификатов на наличия сторонних сертификатом можно воспользоваться утилитой Sigcheck (из набора утилит Sysinternals).
Таким образом, проверку хранилища сертификатов с помощью утилиты SigCheck стоит обязательно выполнять на любых системах, особенно на OEM компьютерах с предустановленной ОС и различных сборках Windows, распространяемых через популярные торрент-трекеры.
Проверка сертификата сбой, когда сертификат имеет несколько надежных путей сертификации для корневого CAs
В этой статье представлены обходные пути для проблемы, в которой сертификат безопасности, представленный веб-сайтом, не выдан, если у него есть несколько надежных путей сертификации для корневых ЦС.
Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2831004
Симптомы
Когда пользователь пытается получить доступ к защищенного веб-сайта, пользователь получает следующее предупреждение в веб-браузере:
Существует проблема с сертификатом безопасности этого веб-сайта.
Сертификат безопасности, представленный на этом веб-сайте, не был выдан доверенным органом сертификата.
После того как пользователь нажмет кнопку Продолжить работу на этом веб-сайте (не рекомендуется), пользователь может получить доступ к защищенного веб-сайта.
Причина
Эта проблема возникает из-за того, что сертификат веб-сайта имеет несколько надежных путей сертификации на веб-сервере.
Например, предположим, что клиентский компьютер, на который вы используете сертификат root certification authority (CA) (2). А веб-сервер доверяет сертификату Root CA (1) и root CA (2). Кроме того, сертификат имеет следующие два пути сертификации к доверенным корневым ЦС на веб-сервере:
Когда компьютер находит несколько надежных путей сертификации во время процесса проверки сертификатов, Microsoft CryptoAPI выбирает оптимальный путь сертификации, вычисляя оценку каждой цепочки. Оценка рассчитывается на основе качества и количества сведений, которые может предоставить путь сертификата. Если оценки для нескольких путей сертификации одинаковы, выбирается самая короткая цепочка.
Когда путь сертификации 1 и путь сертификации 2 имеют одинаковые оценки качества, CryptoAPI выбирает более короткий путь (путь сертификации 1) и отправляет путь клиенту. Однако клиентский компьютер может проверить сертификат только с помощью более длительного пути сертификации, ссылаясь на сертификат Root CA (2). Таким образом, проверка сертификата не удается.
Обходной путь
Чтобы решить эту проблему, удалите или отключите сертификат из пути сертификации, который вы не хотите использовать, следуя следующим шагам:
Войдите на веб-сервер в качестве системного администратора.
Добавьте оснастку сертификата в консоль управления Майкрософт, следуя следующим шагам:
Расширйте сертификаты (локальный компьютер) в консоли управления, а затем найдите сертификат на пути сертификата, который вы не хотите использовать.
Если сертификат является корневым сертификатом ЦС, он содержится в доверенных корневых органах сертификации. Если сертификат является промежуточным сертификатом ЦС, он содержится в промежуточных органах сертификации.
Удаление или отключение сертификата с помощью одного из следующих методов:
Перезапустите сервер, если проблема еще не возникла.
Кроме того, если параметр групповой политики обновления автоматических корневых сертификатов отключен или не настроен на сервере, сертификат с пути сертификации, который вы не хотите использовать, может быть включен или установлен при следующем цепи. Чтобы изменить параметр групповой политики, выполните следующие действия:
Нажмите > кнопку Начните запуск, введите gpedit.msc и нажмите кнопку Ввод.
Расширь настройки > компьютеров Административные шаблоны системы управления интернет-связью, > > а затем нажмите параметры интернет-коммуникации.
Дважды щелкните кнопку Отключить автоматическое обновление корневых сертификатов, выберите Включено, а затем нажмите кнопку ОК.
Закрой редактор локальной групповой политики.
Статус
Такое поведение является особенностью данного продукта.
Ошибка сертификата при входе на сайты с Windows 7 или XP после 01.10.21
С 1 октября 2021 года закончился срок действия сертификата IdenTrust DST Root CA X3 (одного из основных корневых сертификатов, применяемых в сети), который установлен на многих устройствах.
Из-за этого владельцы ПК на Windows 7, Windows Server 2008 с выключенными обновлениями и Windows XP могут столкнуться с проблемой появления ошибки: «ERR_CERT_DATE_INVALID» или «ERR_DATE_INVALID» при входе на многие сайты.
Есть два способа решить эту проблему: либо установить новый сертификат, либо установить обновления ОС Windows.
Установка сертификата
Необходимо запустить скачанный файл, на вкладке «Общие» нажать «Установить сертификат».
Выберите расположение «Локальный компьютер» и нажмите «Далее».
Выберите пункт «Поместить все сертификаты в следующее хранилище», нажмите «Обзор», выберите раздел «Доверенные корневые центры сертификации», нажмите «ОК» и «Далее», а в следующем окне – «Готово». При появлении вопросов об установке сертификатов – согласитесь на установку.
После этого перезапустите браузер и вновь попробуйте зайти на необходимый сайт.
Установка обновлений
Для решения ошибки сертификата нужно установить обновления KB3020369 и KB3125574:
Допустимые корневые сертификаты ЦС, распределенные с помощью GPO, могут периодически отображаться как ненадеживые
В этой статье содержится обходное решение проблемы, в которой допустимые корневые сертификаты ЦС, распространяемых с помощью GPO, отображаются как ненадеживые.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 4560600
Симптомы
Неоправдавшиеся проблемы с сертификатами корневого сертификата (CA) могут быть вызваны многочисленными проблемами конфигурации PKI. Эта статья иллюстрирует только одну из возможных причин неоправданого корневого сертификата ЦС.
В различных приложениях с сертификатами и инфраструктурой ключей общего пользования (PKI) могут возникнуть периодические проблемы, такие как ошибки подключения, один или два раза в день/неделю. Эти проблемы возникают из-за неудачной проверки сертификата конечной сущности. Затронутые приложения могут возвращать различные ошибки подключения, но все они будут иметь распространенные ошибки корневого сертификата. Ниже приведен пример такой ошибки:
| Hex | Десятичное число | Символический | Текстовая версия |
|---|---|---|---|
| 0x800b0109 | -2146762487 | (CERT_E_UNTRUSTEDROOT) | Цепочка сертификатов обрабатывается, но завершается в корневом сертификате |
Любое приложение с поддержкой PKI, использующее архитектуру системы CryptoAPI, может быть затронуто с периодическими потерями подключения или сбоем в зависимой функциональности PKI/Certificate. По данным на апрель 2020 г., список приложений, затронутых этой проблемой, включает, но не ограничивается:
Администраторы могут выявлять и устранять проблемы с корневым сертификатом ЦС, проверяя журнал CAPI2.
Сосредоточься на устранении неполадок в журнале CAPI2, содержащего следующие подписи. Например:
Цепочка сборки по ошибке CAPI2 11
Политика проверки цепочки ошибок CAPI2 30
В результате цепочка сертификатов обрабатывается, но завершается корневым сертификатом, которому поставщик доверия не доверяет.
[значение] 800b0109
Причина
Проблемы с корневым сертификатом ЦС могут возникнуть, если корневой сертификат ЦС распространяется с помощью следующей групповой политики (GP):
Конфигурация компьютера > Windows Параметры > Безопасность Параметры > Политики общедоступных ключей > Доверенные корневые органы сертификации
Сведения о причинах корней
При распространении корневого сертификата ЦС с помощью GPO содержимое будет удалено HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates и снова записано. Это удаление происходит по проекту, так как GP применяет изменения реестра.
Изменения в области реестра Windows, зарезервированных для корневых сертификатов ЦС, будут уведомлять компонент API Crypto клиентского приложения. И приложение начнет синхронизироваться с изменениями реестра. Синхронизация — это то, как приложения хранятся в курсе и знают самый текущий список действительных корневых сертификатов ЦС.
В некоторых сценариях обработка групповой политики займет больше времени. Например, многие корневые сертификаты ЦС распространяются через GPO (аналогичные многим брандмауэрам Applocker или политикам). В этих сценариях приложение может не получить полный список доверенных корневых сертификатов ЦС.
По этой причине сертификаты конечных сущности, которые цепят к отсутствующих корневым сертификатам ЦС, будут отрисованы как ненарушимые. И начнут возникать различные проблемы, связанные с сертификатами. Эта проблема является временной и может быть временно решена путем повторной обработки GPO или перезагрузки.
Если корневой сертификат ЦС публикуется с использованием альтернативных методов, проблем может не возникнуть из-за вышеучданной ситуации.
Обходной путь
Корпорация Майкрософт знает об этой проблеме и работает над улучшением работы сертификата и API crypto в будущей версии Windows.
Чтобы решить эту проблему, избегайте распространения корневого сертификата ЦС с помощью GPO. Он может включать ориентацию расположения реестра (например) для доставки HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates корневого сертификата ЦС клиенту.
При хранении корневого сертификата ЦС в другом, физическом, корневом хранилище сертификатов ЦС проблема должна быть устранена.
Примеры альтернативных методов публикации корневых сертификатов ЦС
Метод 1: Используйте средство командной строки и корневой сертификат CA, хранимый certutil в файле rootca.cer:
Эта команда может выполняться только локальными администраторами, и она будет влиять только на одну машину.
Метод 2: Запустите certlm.msc (консоль управления сертификатами для локальной машины) и импортировать корневой сертификат ЦС в физическом хранилище реестра.
Консоль certlm.msc может быть запущена только местными администраторами. Кроме того, импорт коснется только одной машины.
Метод 3: Используйте параметры GPO для публикации корневого сертификата ЦС, как описано в настройках групповой политики
Чтобы опубликовать корневой сертификат ЦС, выполните следующие действия:
Откройте GPMC.msc на машине, импортируемой корневым сертификатом.
Изменение GPO, которое вы хотите использовать для развертывания параметров реестра следующим образом:
Развертывание нового GPO на машинах, где должен быть опубликован корневой сертификат.
Любой другой метод, средство или решение по управлению клиентами, которое распространяет корневые сертификаты ЦС, записав их в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates расположение, будет работать.