Подмена сертификата шифрования
Чтобы убедиться в отсутствии перешифровки https-трафика антивирусными программами или proxy, воспользуйтесь одним из способов ниже:
1. Зайдите на портал диагностики, в раздел « Проверка связи» (https://help.kontur.ru/check). Если в одной из строчек не стоит галочка, а значение в столбике « Сертификат» подсвечено красным, то происходит подмена сертификата. Название программы, подменяющей сертификат, указано в графе «Издатель».
2. Зайдите на сайт https://auth.kontur.ru , нажмите левой кнопкой мыши по значку «замкА» (возле адресной строки) либо правой кнопкой мыши на странице > Свойства > Сертификаты и проверьте, какой сертификат сервера предлагается. Сертификат должен быть таким:
- Кому выдан: *.kontur.ru
- Кем выдан: RapidSSL SHA256 CA
- Серийный номер: 48 61 59 21 53 c2 cf cd e2 0c f8 ec 70 a1 9d 67
или таким:
- Кому выдан: *.kontur.ru
- Кем выдан: GlobalSign Domain Validation CA — SHA256 — G2
- Серийный номер: 13 0b ab d5 ec ff a6 f0 71 ae 5a 36
Если сертификат другой, значит происходит перешифровка https-трафика. Название программы, подменяющей сертификат, указано в строке «Кем выдан».
Определите, какой программой выдан сертификат и настройте её таким образом, чтобы она не вмешивалась в работу наших сервисов. Инструкции по настройке программ, которые могут влиять на подмену сертификата, представлены ниже.
Антивирус Avast
Отключите активную защиту для https-сайтов. Для этого кликните правой кнопкой мыши по значку Avast, который находится в области уведомлений, и выберите пункт «Открыть интерфейс пользователя Avast».
Перейдите в пункт «Настройки».
Выберите раздел Активная защита (или Компоненты) > Веб-экран > Настройки.
Снимите галочки со следующих пунктов и нажмите «ОК».
- Включить сканирование HTTPS
- Использовать интеллектуальное сканирование потока
- Сканирование сценариев
Антивирус ESET Smart Security
Отключите фильтрацию https-протоколов в ESET Smart Security. Для этого откройте ESET > Настройка > Дополнительные настройки (или Перейти к расширенным параметрам).
Перейдите в раздел Интернет и электронная почта > Защита доступа в интернет > Веб-протоколы > Настройка модуля > снимите галочку с пункта «Включить проверку протокола HTTPS».
Антивирус Kaspersky Internet Security
В зависимости от версии Касперского некоторые элементы интерфейса могут отличаться.
1. Отключите надстройки Kaspersky Internet Security. Для этого в Internet Explorer выберите вкладку Сервис > Настроить надстройки.
В разделе «Отображать» выберите пункт «Все надстройки». Найдите в списке надстройки Kaspersky Protection и Kaspersky Protection Toolbar, щелкните по строке правой кнопкой мыши и выберите пункт «Отключить».
2. Отключите внедрение скриптов Касперского и проверку защищенных соединений. Для этого откройте Kaspersky Internet Security > Настройки > Дополнительно > Сеть > Внедрять в трафик скрипт для взаимодействия с веб-страницами.
3. Откройте Kaspersky Internet Security > Настройки > Защита > Веб-Антивирус (или Веб-Защита).
Откройте Расширенные настройки и отключите «Автоматически активировать расширение Kaspersky Protection в браузерах».
4. Отключите проверку HTTPS-соединений. Для этого Откройте Kaspersky Internet Security > Настройки > Дополнительные параметры> Сеть. В блоке « Проверка защищенных соединений» отключите опцию « Проверять защищенные соединения» .
Антивирус Dr.Web
Отключите проверку HTTPS-соединений. Для этого откройте Dr.Web > Настройка > Основные > Сеть > Безопасные соединения. Установите переключатель « Проверять зашифрованный трафик» в положение « Откл.» .
Программа AdGuard
Отключите проверку HTTPS-соединений. Если в вашем браузере установлено дополнение AdGuard, для него ничего отключать не нужно. Если оно не установлено, то откройте программу «AdGuard » > Настройки > Общие настройки > уберите галочку с пункта «Фильтровать HTTPS протокол ».
AVG Antivirus
Отключите проверку HTTPS-соединений. Для этого откройте AVG Antivirus > Настройки > Компоненты > Веб-защита или Online Shield > Настройки > уберите галочку с пункта « Включить сканирование HTTPS».
Ошибки - Ваше подключение не защищено
Почему происходит?
Вредоносная программа (Программы анкетирования ResearchBar+, разные vpn, прокси, AD* от лавасофт) или устаревший/плохой антивирус (аваст, касперский и прочие) подменяют https сертификаты на сайтах чтобы отследить содержимое и ваш трафик, делая посещение подобных сайтов небезопасными.
Как диагностировать причину?
Чтобы точно узнать причину нажмите на ошибку: NET::ERR_WEAK_SIGNATURE_ALGORITHM и скопируйте сюда весь текст или сделайте скриншот
Нужна такая информация с этой страницы, как пример:
Subject: accounts.google.com
Current date: 31 мар. 2017 г.
PEM encoded chain:
Примеры ошибок и как исправить
Issuer: ZAO TNS Gallup Media
Это программа
ResearchBar+, она подменяет https сертификаты у сайтов на свои, тем самым делая их просмотр не безопасным и позволяя перехватывать вашу личную информацию.
Удалите ее в Панель управления\Программы\Программы и компоненты и расширение тоже тут chrome://extensions/
Issuer: Kaspersky Anti-Virus Personal Root Certificate
Скорее у вас необновленная версия антивируса, переустановите, альтернативное решение - http://support.kaspersky.ru/9927#block1
Issuer: avast! Web/Mail Shield Root
Если нет то: "Avast Premium сканировал HTTPS (можно отключить в Настройки -> Активная защита -> Веб-экран -> убрать галочку напротив "Включить сканирование HTTPS"). Именно антивирус вмешивался в сертификаты и был проблемой."
Issuer: Bitdefender Personal CA.Net-Defender
Если нет то: заходим в BitDefender - Settings - Privacy Control - Scan SSL => отключить его!!!
Issuer: Superfish, Inc.
Это опасный вирус. https://filippo.io/Badfish/removing.html удаляйте его по инструкции. А также антивирусами и проверьте компьютер программами по сканированию и очистке компьютера ADWCLEANER и ANTI-MALWARE .
Issuer: Sample CA и другие
Пока установить причину не удалось.
Скидывайте сюда коды Issuer:
Ставьте тогда касперский например на проверку, он многим помог т.к. это в любом случае вирус.
Обычно влияют продукты лавасофт - разные AD***, антивирусы, прокси и VPN и любые программы подменяющие сертификаты https
Вспомните может недавно какую-то программу ставили. Пройдитесь по разделу установка удаление программ.
Проверьте компьютер программами по сканированию и очистке компьютера ADWCLEANER и ANTI-MALWARE .
2) NET::ERR_CERT_AUTHORITY_INVALID
Почему это происходит?
У сайта плохой поставщик сертификатов https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
Начиная с Google Chrome 56, браузер больше не доверяет сертификатам WoSign и StartCom (выпущенным позднее October 21, 2016 00:00:00 UTC.)
2) Сайт использует устаревший сертификат SHA1
3) Не указаны промежуточные сертификаты, пример https://productforums.google.com/d/msg/chrome-ru/oigftnviDUE/LbhJLEovAwAJ
Как диагностировать причину?
Воспользоваться тестами SSL
https://www.ssllabs.com/ssltest/
https://www.sslshopper.com/ssl-checker.html
Решение:
Пользователям - если вы не имеется отношения к сайту то обратитесь к владельцам с просьбой починить ресурс, метод ниже.
Владельцам - Сменить сертификат, например на бесплатный от Let"s Encrypt. Большинство хостингов и регистраторов доменных имен подключают их спокойно сегодня.
Если проблема с промежуточным сертификатом то значит установили неверно, обратитесь к вашему хостеру или наймите специалиста.
3) NET::ERR_CERT_COMMON_NAME_INVALID
Почему это происходит?
Вы выпустили сертификат например на поддомен (test.hosting.ru), а сейчас купили себе домен второго уровня (site.ru), а сертификат поменять забыли. Также такое бывает у конструкторов сайтов вроде тилда, сертификаты там выпущены на site.tilda.ws, при добавлении домена нужно менять сертификат.
Как диагностировать причину?
Воспользоваться тестами SSL
https://www.ssllabs.com/ssltest/
https://www.sslshopper.com/ssl-checker.html
Решение:
Создать сертификат именно под ваш домен
4) NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIR ED
Почему это происходит?
Или у вас устаревшая версия Chrome или вы используете Chromium подобный браузер от другой компании.
Также помните что поддержка Windows XP давно завершена как Майкрасофтом так и Google Chrome.
Решение:
Установите свежую версию браузера отсюда (Web установщик):
Или скачайте сразу весь файл установки:
Антивирус Касперского имеет многоступенчатую систему защиты ОС и личных данных от вирусов и других вредоносных программ, и потому является важнейшим звеном системы безопасности компьютера. Даже временное его отключение нежелательно, поскольку вирус может заразить Windows мгновенно, когда вы меньше всего этого ждете. Но в некоторых случаях не обойтись без отключения антивируса, поскольку слишком агрессивная его защита может блокировать запуск и нормальную работу некоторых программ и сайтов.
Самый простой и быстрый способ отключения Касперского – это отключение его через панель задач. Откройте панель задач и щелкните правой кнопкой мыши на значке антивируса. Выберите «Выход» и подтвердите действие. Программа будет выгружена из системы. Однако приведенный выше пример – не самое удачное решение, поскольку потом придется запускать антивирус снова. Забыв это сделать, вы оставите свой компьютер беззащитным. Более логичным решением будет временная приостановка работы Касперского на указанное время. Для этого в панели задач кликните правой кнопкой мыши на значке Касперского и выберите «Приостановить защиту».
Отключайте антивирус лишь тогда, когда это действительно необходимо и других вариантов нет. Забыв включить его, вы рискуете заразить ваш компьютер вредоносными программами и потом долго от них избавляться. Пользуйтесь исключениями для конфликтных приложений вместо отключения Касперского, чтобы не подвергать риску безопасность ОС и личных данных.
