Сертификат сервера не соответствует адресу сайта как исправить
Перейти к содержимому

Сертификат сервера не соответствует адресу сайта как исправить

  • автор:

Как сделать соответствие сертификата сервера и URL?

На только что созданном сайте выскакивает сообщение, что подключение не защищено. В адресной строке перечеркнут значок замка и https, также написано, что идентификационные данные этого сайта не проверены. Сертификат сервера не соответствует URL. Как это исправить?

Отслеживать
68.2k 225 225 золотых знаков 80 80 серебряных знаков 223 223 бронзовых знака
задан 16 янв 2016 в 20:31
11 1 1 серебряный знак 3 3 бронзовых знака

Ну так может добавите описание — что за сертификат вы ставите, какой серв, настройки и прочее. Может у вас сертификат такой

16 янв 2016 в 21:26

2 ответа 2

Сортировка: Сброс на вариант по умолчанию

Доменное имя сайта должно совпадать с указанным в сертификате (Common Name), проще всего бесплатно получить и обновлять подписанный с помощью доверенного центра сертификации через LetsEncrypt: https://letsencrypt.org/

 git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt/ ./letsencrypt-auto 

Также можно будет перечислить и другие доменные имена (alias), которые могут использоваться на данном сервере.

Ошибки сертификата безопасности веб-узла: что это и что с этим делать?

Иногда при попытке зайти на сайт можно увидеть в браузере предупреждение о том, что сайт небезопасный. Формулировки могут быть разными, но говорят об одном – возникли проблемы с сертификатом сайта. Разберемся, что это такое, почему возникают такие ситуации и что с этим делать.

Зачем сайту нужен сертификат безопасности

Скорее всего, вы замечали, что адреса сайтов могут начинаться с http и https – это один и тот же протокол передачи данных между пользователем и сервером сайта (HyperText Transfer Protocol), но буква «s» означает, что соединение Secure – то есть безопасно.

Кратко механику протоколов можно объяснить так:

  • обмен данными между сайтами с http в адресе происходит открыто, то есть ими достаточно легко могут завладеть мошенники;
  • если используется протокол https, то данные передаются в зашифрованном виде. Даже если их перехватить, то это будет просто набор символов, который невозможно расшифровать без специального SSL сертификата.

И когда браузер сообщает о проблемах с сертификатом безопасности, речь идет именно о SSL-сертификате.

Понять, что соединение не защищено, можно и по специальным значкам в адресной строке. Если на них кликнуть, появляется окошко с дополнительной информацией.

Браузеры блокируют доступ не ко всем сайтам с незащищенным соединением. По сути, если пользование веб-ресурсом не предполагает ввод конфиденциальной информации, особых рисков при просмотре его страниц нет. Но если вы переходите по ссылкам, надо быть внимательным – вредоносный код может изменить адрес ссылки, и вы попадете на похожий, но фейковый сайт.

Если же на сайте принимаются платежи, нужна регистрация с вводом данных – наличие SSL-сертификата обязательно. Также поисковые системы лучше ранжируют безопасные для пользователей ресурсы.

Важно! Не всегда предупреждение браузера действительно говорит о том, что соединение небезопасно. Проблема может быть на стороне пользователя или сервера, но рисков это не несет. Рассказываем, почему так получается и что нужно делать.

Что делать пользователю
Проверить дату и время на своем гаджете

Если время на ПК сбилось и не соответствует времени на сервере, сертификат не может пройти проверку. После установки правильного времени компьютер нужно перезагрузить. Если проблема повторяется, возможно, стоит заменить батарейку на материнской плате.

Обновить корневые сертификаты

Проверка проходит в несколько уровней, и если отсутствуют «главные» корневые сертификаты, то сертификаты сайтов система не распознает. Если у вас отключено автоматическое обновление ПО, то и новые сертификаты вы могли не получить. Обновить их можно, скачав с официальных сайтов производителя вашей операционной системы (скачивание со сторонних ресурсов – небезопасно!).

Установить сертификаты вручную

Важно! Используйте этот метод, только если вы полностью доверяете сайту.

Проверить работу антивируса

Антивирусные программы оценивают безопасность соединения по многим критериям, и иногда могут блокировать доступ к вполне трастовым ресурсам. Попробуйте отключить защиту и зайти на сайт. Но вводить там свои данные можно, только если вы полностью доверяете ресурсу. И, возможно, стоит задуматься о смене антивирусного ПО.

Нерекомендуемые методы

В Интернете можно найти и другие способы решения проблемы с сертификатом сайта – добавление ресурса в список трастовых (доверенных) сайтов, отключение самой проверки, установка пакета собранных автором поста сертификатов и т.д. Используя такие подходы, вы должны понимать, что это высокорисковые решения, и ответственность за сохранность ваших данных полностью ложится на вас.

Что делать вебмастеру
Установить SSL-сертификат

Для начала определитесь, какой именно сертификат нужен вашему сайту:

  • Сертификат с упрощенной проверкой DV (Domain Validation) удостоверяет только соответствие домена тому, которому выдан сертификат. Не содержит информацию о том, кому этот домен принадлежит. Подходит для физлиц, ИП, небольших компаний.
  • Сертификат со стандартной проверкой (OV) существенно повышает доверие к ресурсу, ведь при его выдаче проверяется, на какую организацию зарегистрирован домен, есть ли о ней сведения в открытых реестрах, подтверждены ли контактные данные. Такие сертификаты выбирают для серьезных бизнес-сайтов, интернет-магазинов.
  • Максимальная расширенная проверка проводится при выдаче EV сертификатов. Исследуется не только существование компании, но правомерность ее деятельности. Сайты с EV сертификатом выделяются в адресной строке и обязательно есть информация, кем выдан сертификат. Чаще всего таким сертификатом подписывают ресурсы госорганизаций, банков, других финансовых компаний.

Есть еще самоподписанные сертификаты – это «техническое» решение, которое используют для тестирования или во внутренней сети (с установкой на все машины). Для сайтов в Интернете они не пользуются.

Важно! Большинство сертификатов выдаются на один конкретный домен (поддомен также считается отдельным доменом). Поэтому, если поддоменов много, есть смысл получить сертификат из категории Wildcard (распространяется на домен и все поддомены одного уровня) или SAN (обеспечивает защиту до сотни доменов, причем они могут быть размещены на разных серверах).

Для получения OV и EV сертификата нужно предоставить удостоверяющему центру пакет документов, выпуск займет от 3-5 дней.

Процесс установки сертификата может отличаться в зависимости от хостинга и ПО сайта, но обычно подробную информацию можно найти в разделах помощи. Самый простой вариант – заказать услугу установки сертификата. Например, такая возможность есть на сайте RU-CENTER.

Настроить переадресацию с http на htpps

Для этого понадобится внести создать или внести изменения в существующий файл .htaccess.

Если ваш сайт создан на CMS, отредактировать информацию необходимо и в ее панели управления. Как это сделать – смотрите в документации к CMS. Например, в WordPress нужно указать новый адрес сайта с https, а в Joomla есть возможность включить SSL автоматически.

Убрать смешанный контент

Если вы установили сертификат на уже существующий сайт, но браузеры так и продолжают сообщать о небезопасном соединении, то проблема может быть в смешанном контенте. Например, если картинки вставлялись по полному адресу http://site.ru/media/photo.jpg, то после смены на https адрес картинки останется прежним. И браузер не сможет подтвердить, что все элементы гарантируют безопасное соединение.

В случае с популярными CMS это решается плагинами, для сайта без CMS или на CMS собственной разработки будет необходим специальный скрипт.

Следить за сроком действия сертификата

SSL-сертификаты выдаются сроком на 1 год. Когда это время истечет, сертификат будет считаться недействительным – его нужно перевыпустить.

Если все установлено правильно, но проблема наблюдается – обратитесь в службу поддержки хостинга. Иначе посетители вашего сайта будут получать столь неприятное сообщение о небезопасности вашего ресурса.

Устранение проблем, связанных с SSL (сертификат сервера)

В этой статье описано, как устранять проблемы ssl, связанные только со службами IIS. Он охватывает сертификаты сервера, предназначенные для проверки подлинности сервера, и не охватывает сертификаты клиента.

Если для раздела Сертификаты клиента задано значение «Требовать», а затем возникают проблемы, это не та статья, которую следует ссылаться. Эта статья предназначена только для устранения неполадок с сертификатами SSL-сервера.

Важно знать, что каждый сертификат содержит открытый ключ (используется для шифрования) и закрытый ключ (используется для расшифровки). Закрытый ключ известен только серверу.

Порт по умолчанию для HTTPS — 443. Предполагается, что вы хорошо разбираелись в подтверждении SSL и процессе проверки подлинности сервера во время подтверждения SSL.

Средства, используемые в этом средстве устранения неполадок

Для устранения неполадок в различных сценариях используются следующие средства:

  • SSLDiag
  • Монитор сети 3.4 или Wireshark

Сценарии

При просмотре веб-сайта по протоколу HTTPS отображается следующее сообщение об ошибке:

Снимок экрана: страница браузера, на которой отображается сообщение

Первым предварительным требованием, которое необходимо проверить, является ли веб-сайт доступен по протоколу HTTP. Если это не так, скорее всего, существует отдельная проблема, которая не рассматривается в этой статье. Прежде чем использовать это средство устранения неполадок, необходимо, чтобы веб-сайт функционировал по протоколу HTTP.

Теперь предположим, что веб-сайт доступен по протоколу HTTP, а предыдущее сообщение об ошибке отображается при попытке перейти по протоколу HTTPS. Сообщение об ошибке отображается из-за сбоя подтверждения SSL. В следующих нескольких сценариях может быть много причин.

Сценарий 1

Проверьте, имеет ли сертификат сервера соответствующий закрытый ключ. См. следующий снимок экрана: диалоговое окно «Сертификат»:

Два снимка экрана: диалоговое окно

Разрешение

Если закрытый ключ отсутствует, необходимо получить сертификат, содержащий закрытый ключ, который по сути является . PFX-файл. Ниже приведена команда, которую можно выполнить, чтобы связать закрытый ключ с сертификатом:

C:\>certutil - repairstore my "[U+200E] 1a 1f 94 8b 21 a2 99 36 77 a8 8e b2 3f 42 8c 7e 47 e3 d1 33" 

Снимок экрана: командная консоль с синтаксисом certutil.

Если сопоставление прошло успешно, вы увидите следующее окно:

Снимок экрана: консоль команд с сообщением о том, что команда успешно завершена.

В этом примере 1a 1f 94 8b 21 a2 99 36 77 a8 8e b2 3f 42 8c 7e 47 e3 d1 33 — отпечаток сертификата. Чтобы получить отпечаток, выполните следующие действия:

  1. Откройте сертификат.
  2. Перейдите на вкладку Сведения .
  3. Прокрутите вниз, чтобы найти раздел отпечатка.
  4. Выберите раздел отпечатка и щелкните приведенный ниже текст.
  5. Нажмите клавиши CTRL + A , а затем CTRL + C , чтобы выбрать и скопировать его.

Снимок экрана: диалоговое окно

Команда certutil не всегда может быть выполнена успешно. В случае сбоя необходимо получить сертификат, содержащий закрытый ключ, из центра сертификации (ЦС).

Сценарий 2

В этом сценарии следует учитывать, что у вас есть сертификат сервера, содержащий закрытый ключ, установленный на веб-сайте. Однако вы по-прежнему видите ошибку, показанную в сценарии 1. Вы по-прежнему не можете получить доступ к веб-сайту по протоколу HTTPS.

Разрешение

  1. Скачайте и установите средство диагностики SSL на сервере.
  2. Если у вас есть сертификат, содержащий закрытый ключ, и вы по-прежнему не можете получить доступ к веб-сайту, попробуйте запустить это средство или проверка журналы системных событий для предупреждений или ошибок, связанных с SChannel. При запуске средства SSLDiag может появилось следующее сообщение об ошибке:

У вас есть закрытый ключ, соответствующий этому сертификату, но сбой CryptAcquireCertificatePrivateKey.

Снимок экрана: окно диагностики SSL. Сообщение о сбое выделено.

Кроме того, в журналах системных событий появится следующее предупреждение SChannel:

Event Type: Error Event Source: Schannel Event Category: None Event ID: 36870 Date: 2/11/2012 Time: 12:44:55 AM User: N/A Computer: Description: A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x80090016. 
Event Type: Error Event Source: Schannel Event Category: None Event ID: 36870 Date: 2/11/2012 Time: 12:44:55 AM User: N/A Computer: A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009001a. 

Снимок экрана: окно

  • Проверьте, работает ли веб-сайт с тестируемым сертификатом.
  • Создайте резервную копию существующего сертификата, а затем замените его самозаверяющий сертификат.
  • Попробуйте получить доступ к веб-сайту по протоколу HTTPS. Если это работает, то использованный ранее сертификат был поврежден, и его необходимо заменить новым рабочим сертификатом. Иногда проблема может быть связана не с сертификатом, а с издателем. В SSLDiag может возникнуть следующая ошибка: CertVerifyCertificateChainPolicy произойдет сбой с CERT_E_UNTRUSTEDROOT (0x800b0109) параметром , если сертификат корневого ЦС не является доверенным корневым.
  • Чтобы устранить эту ошибку, добавьте сертификат ЦС в хранилище «Доверенный корневой ЦС» в разделе Моя учетная запись компьютера на сервере. Вы также можете получить следующую ошибку:

    CertVerifyCertificateChainPolicy вернул ошибку -2146762480(0x800b0110).

    1. Откройте сертификат.
    2. Перейдите на вкладку Сведения .
    3. Выберите Изменить свойства. .
    4. На вкладке Общие убедитесь, что выбран параметр Включить все цели для этого сертификата , и что самое главное, в списке должна присутствовать проверка подлинности сервера .

    Снимок экрана: часть диалогового окна

    Сценарий 3

    Первые два сценария помогают проверка целостность сертификата. Убедившись в отсутствии проблем с сертификатом, будет решена масштабная проблема. Но что делать, если веб-сайт по-прежнему недоступен по протоколу HTTPS? Проверьте HTTPS-привязки веб-сайта и определите, какой порт и IP-адрес прослушивается.

    Разрешение

    1. Выполните следующую команду, чтобы убедиться, что ни один другой процесс не прослушивает SSL-порт, используемый веб-сайтом.
    netstat -ano" or "netstat -anob 

    Сценарий 4

    К настоящему времени вы можете быть уверены, что у вас есть правильный рабочий сертификат, установленный на веб-сайте, и нет других процессов, использующих SSL-порт для этого веб-сайта. Однако при доступе к веб-сайту по протоколу HTTPS по-прежнему может появиться сообщение об ошибке «Страница не отображается». Когда клиент подключается и инициирует согласование SSL, HTTP.sys выполняет поиск в конфигурации SSL пары «IP:Порт», к которой подключен клиент. Конфигурация SSLHTTP.sys должна включать хэш сертификата и имя хранилища сертификатов, прежде чем согласование SSL будет успешно выполнено. Проблема может быть связана HTTP.SYS SSL Listener с .

    Хэш сертификата, зарегистрированный вHTTP.sys , может иметь значение NULL или содержать недопустимый GUID.

    Разрешение

    1. Выполните следующую команду:
    IIS 6: "httpcfg.exe query ssl" IIS 7/7.5: "netsh http show ssl" 

    Примечание. HttpCfg является частью средств поддержки Windows и присутствует на диске установки.
    Ниже приведен пример рабочего и нерабочего сценария: Рабочий сценарий

    Конфигурация Setting
    IP 0.0.0.0:443
    Хэш
    GUID
    CertStoreName МОЙ
    CertCheckMode 0
    ОтзывFreshnessTime 0
    UrlRetrievalTimeout 0
    SslCtlIdentifier 0
    SslCtlStoreName 0
    Flags 0

    Нерабочий сценарий

    Конфигурация Setting
    IP 0.0.0.0:443
    Хэш c09b416d6b 8d615db22 64079d15638e96823d
    GUID
    CertStoreName МОЙ
    CertCheckMode 0
    ОтзывFreshnessTime 0
    UrlRetrievalTimeout 0
    SslCtlIdentifier 0
    SslCtlStoreName 0
    Flags 0
    httpcfg delete ssl -i "IP:Port Number" 
    httpcfg delete ssl -i 0.0.0.0:443 
    IIS 6: httpcfg query iplisten 
    IIS 7/7.5: netsh http show iplisten 

    Если список IP-прослушивания пуст, команда возвращает следующую строку:

    HttpQueryServiceConfiguration completed with 1168. 

    Если команда возвращает список IP-адресов, удалите каждый IP-адрес из списка с помощью следующей команды:

    httpcfg delete iplisten -i x.x.x.x 

    Примечание. Перезапустите IIS после этого с помощью net stop http /y команды .

    Сценарий 5

    Несмотря на все это, если вы по-прежнему не можете просматривать веб-сайт по ПРОТОКОЛу HTTPS, запишите трассировку сети с клиента или сервера. Отфильтруйте трассировку по протоколу SSL или TLS, чтобы просмотреть трафик SSL.

    Ниже приведена трассировка сети snapshot нерабочего сценария:

    Снимок экрана: окно фильтра отображения с snapshot трассировки.

    Ниже приведена трассировка сети snapshot рабочего сценария:

    Снимок экрана: окно фильтра отображения, показывающее snapshot успешной трассировки.

    Это метод просмотра трассировки сети. Необходимо развернуть сведения о кадре и узнать, какой протокол и шифр был выбран сервером. Выберите «Server Hello» в описании, чтобы просмотреть эти сведения.

    В нерабочем сценарии клиент был настроен только для использования TLS 1.1 и TLS 1.2. Однако веб-сервером был IIS 6, который может поддерживаться до TLS 1.0, поэтому подтверждение завершилось сбоем.

    Проверьте разделы реестра, чтобы определить, какие протоколы включены или отключены. Вот путь:

    DWORD «Enabled» должно иметь значение «1». Если задано значение 0, протокол отключен.

    Например, SSL 2.0 по умолчанию отключен.

    Сценарий 6

    Если все проверено и у вас по-прежнему возникают проблемы с доступом к веб-сайту по протоколу HTTPS, скорее всего, это обновление, которое приводит к сбою подтверждения SSL.

    Корпорация Майкрософт выпустила обновление для реализации SSL в Windows:

    MS12-006: Vulnerability in SSL/TLS could allow information disclosure: January 10, 2012 

    Это обновление может повлиять на клиентов, использующих интернет-Обозреватель или приложение, которое использует интернет-Обозреватель для выполнения ЗАПРОСОВ HTTPS.

    На самом деле были внесены два изменения для устранения уязвимости раскрытия информации в SSL 3.0 или TLS 1.0. Обновление MS12-006 реализует новое поведение в schannel.dll, которое отправляет дополнительную запись при использовании общего цепочки блочного шифра SSL, когда клиенты запрашивают такое поведение. Другое изменение произошло в Wininet.dll, в составе накопительного обновления за декабрь для Internet Обозреватель (MS11-099), поэтому интернет-Обозреватель будут запрашивать новое поведение.

    Если проблема существует, она может проявляться как сбой подключения к серверу или неполный запрос. Internet Обозреватель 9 и более поздних версий может отображать ошибку «Интернет-Обозреватель не удается отобразить веб-страницу». В предыдущих версиях Интернет-Обозреватель может отображаться пустая страница.

    Fiddler не использует дополнительную запись при записи и пересылке HTTPS-запросов на сервер. Таким образом, если Fiddler используется для отслеживания трафика HTTPS, запросы будут успешно выполнены.

    Разделы реестра

    • Глобальное отключение нового поведения SSL.
    • Глобально включить его, или
    • (По умолчанию) включите его для клиентов SChannel, которые выбирают новое поведение.

    Для интернет-Обозреватель и клиентов, использующих компоненты Обозреватель Интернета, в разделе FeatureControl FEATURE_SCH_SEND_AUX_RECORD_KB_2618444 есть раздел реестра, определяющий, выбирает ли новое поведениеiexplore.exe или любое другое именованное приложение. По умолчанию эта функция включена для интернет-Обозреватель и отключена для других приложений.

    Дополнительная информация

    • Настройка SSL в IIS
    • Отсутствующий сервер Hello в подтверждении TLS
    • Поддержка протоколов SSL/TLS в Windows

    Сертификат сервера не соответствует адресу сайта как исправить

    Данное сообщение означает, что на домене установлен сертификат, который был выдан для другого домена.

    Например, если сертификат выдан для домена mysite.ru , он не будет работать для домена shop.mysite.ru .

    Все бесплатные SSL-сертификаты распространяются только на сам домен и поддомен «www»: mysite.ru и www.mysite.ru . Для остальных поддоменов они не работают.

    Не нашли ответ? Задайте свой вопрос в нашу службу поддержки

  • Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *