2.Check Point на максимум. HTTPS-инспекция


В предыдущем уроке мы затронули проблему человеческого фактора в Информационной безопасности. В итоге мы сделали вывод, что не важно на сколько качественное и дорогое оборудование вы используете, т.к. все “упрется” в настройку, которая должна быть выполнена грамотно. В этом уроке мы рассмотрим https-инспекцию. Довольно многие недооценивают важность этой функции без которой немыслима современная защита сети. Но обо всем по порядку.

Защита веб-трафика

Практически все современные NGFW или UTM решения имеют функционал проверки веб-трафика. Это и категоризация сайтов и проверка скачиваемого контента и определение веб-приложений. Причем последний пункт (веб-приложения) очень важен, т.к. через один и тот же порт могут работать огромное кол-во сервисов. И если с проверкой HTTP-трафика практически у всех вендоров нет проблем, то HTTPS — настоящий вызов для современных средств защиты.

HTTPS

Думаю, что нет особого смысла рассказывать что такое HTTPS и на сколько он важен для организации безопасного Интернета. Благодаря HTTPS можно быть уверенным, что между клиентом (браузер) и сервером (web-server) невозможно перехватить или изменить передаваемую информацию. Согласно статистике за 2017 год, доля HTTPS-трафика превысила 50%.

Более того, современные браузеры (например google chrome) будут помечать http-сайты с формой авторизации как недоверенные, а google будет понижать их в поисковой выдаче. Все это спровоцирует еще более стремительное увеличение доли HTTPS-трафика.

Как было сказано ранее, HTTPS используется для защищенного общения между двумя узлами в сети Интернет. При этом HTTPS не является каким-то новым протоколом, в целом это обычный HTTP, просто для защиты трафика в качестве транспортного протокола используется SSL или TLS. Именно эти протоколы и отвечают за аутентификацию, шифрование и целостность трафика. Мы не будем подробно рассматривать работу этих протоколов, но всем кто интересуется очень рекомендую вот эту статью. В грубом приближении работа HTTPS выглядит следующим образом:

Т.е. клиент инициирует TLS-запрос к Web-серверу и получает TLS-ответ, а также видит цифровой сертификат, который естественно должен быть доверенным. Пример сертификата при обращении на сайт vk.com изображен выше. В нем содержатся параметры защищенного соединения и открытый ключ. Кроме того, браузер может “подсказать” какая именно версия TLS используется. Повторюсь, что это очень упрощенное описание работы TLS.

После успешного TLS Handshake, начинается передача данных в шифрованном виде. Казалось бы, что это очень хорошо (так оно и есть). Однако для “безопасника” в компании это настоящая головная боль. Поскольку он не “видит” этот трафик и не может проверять его содержимое ни антивирусом, ни системой предотвращения вторжений (IPS), ни DLP-системой, ничем… А это в свою очередь представляет собой очень серьезную уязвимость. Т.к. большинство сайтов переходят на HTTPS, то без HTTPS инспекции ваш интернет-шлюз не может проверять большую часть Web-трафика (т.к. он зашифрован). Кроме того, злоумышленники все чаще используют облачные файловые хранилища для распространения вирусов, которые также работают по HTTPS. Таким образом, каким бы качественным и дорогим не был ваш межсетевой экран (будь то UTM или NGFW решение), он будет пропускать абсолютно все вирусы и зловреды без включенной HTTPS инспекции. Даже пресловутый тестовый вирус EICAR, который детектится любым антивирусом, будет успешно проходить вашу защиту через HTTPS. Мы это обязательно рассмотрим на примере.

HTTPS-инспекция

Решить проблему безопасников призвана технология HTTPS-инспекции. Ее суть до безобразия проста. Фактически, устройство, которое организует HTTPS-инспекцию, совершает атаку типа man-in-the-middle. Выглядит это примерно следующим образом:

Т.е. Check Point перехватывает запрос пользователя, поднимает с ним HTTPS-соединение и уже от себя поднимает HTTPS-сессию с ресурсом, к которому обратился пользователь. В данном случае клиенту предъявляется сертификат, который выпустил сам Check Point. Само собой, что данный сертификат должен быть доверенным. Для этого в Check Point-е есть возможность импортировать сертификат от доверенного CA (subordinate certificate). При импортировании убедитесь, что сертификат имеет алгоритм подписи не ниже sha256, т.к. если он будет например sha1, то современные браузеры будут “ругаться” на такие сертификаты. Либо же вы можете сгенерировать самоподписанный сертификат, который затем необходимо сделать доверенным для всех компьютеров. Именно этот способ мы рассмотрим на примере.

Таким образом, оказавшись посередине между двумя шифрованными соединениям, Check Point получает возможность проверять трафик и все файлы, как с помощью антивируса, так и с помощью остальных блейдов (IPS, Threat Emulation и т.д.). Более подробно о HTTPS-инспекции Check Point вы можете почитать здесь.

Ограничения HTTPS-инспекции

Однако, не все так просто. Метод man-in-the-middle работает далеко не всегда. Есть случаи когда расшифровать https-трафик просто невозможно. Вот несколько примеров:

1) Используются отечественные криптоалгоритмы (ГОСТ) вместо стандартных SSL/TLS.
На данный момент ни одно иностранное решение не может обеспечивать корректную расшифровку подобного HTTPS-трафика (хотя и отечественных решений умеющих делать подобную https-инспекцию лично я не знаю). В качестве решения можно настроить исключения в HTTPS-инспекции для сайтов данной категории.

2) Используется Certificate Pinnig.
Т.е. приложение клиента заранее знает сертификат сервера, к которому он обращается. Обычно проверяется серийный номер сертификата. В этом случае приложение просто не будет смотреть в локальное хранилище доверенных сертификатов и при попытке подмены естественно будет возникать ошибка. Чаще всего данная проблема относится к толстым клиентам (такие как Skype, Telegram), которые используют SSL/TLS в качестве транспорта. Кроме того, буквально на днях обнаружил, что обновленная версия google chrome также начала использовать технологию certificate pinning для своих сервисов (youtube, google drive, gmail и так далее). Это делает невозможным использование https-инспекции. Компания Google активно заботится о безопасности пользователей, но значительно усложняет жизнь безопасникам. В этом случае есть два выхода:

  • Настроить исключения в https-инспекции для сервисов Google. Уверен, что для компаний это крайне нежелательно.
  • Использовать другой браузер… Например Firefox.

3) Используется аутентификация не только сервера, но и клиента.
Это характерно для сайтов из категории финансовых услуг, когда для доступа к какому-нибудь банк-порталу клиент использует специальный ключ или токен. Естественно, что в данном случае устройство, которое осуществляет HTTPS-инспекцию просто не сможет организовать https-соединение с сервером, т.к. не обладает нужным ключем. Проблема решается только настройкой исключений в HTTPS-инспекции.

4) Используется отличный от SSL/TLS протокол.
В данном случае речь уже не о ГОСТ-шифровании, а об относительно новом протоколе от google — quic. Компания гугл начинает активно переводить свои сервисы именно на этот протокол. При этом на текущий момент невозможно обеспечить его расшифровку. Единственным решением в данном случае является блокировка протокола quic, после чего сервисы google начинают использовать стандартный SSL/TLS.

Настройка

Описать настройку в формате текста довольно трудоемко, поэтому мы сделали небольшое видео. В первой части рассказывается вышеописанная теория, а во второй части мы пробуем скачать вирус по HTTPS, а затем настроим HTTPS-инспекцию и сравниваем результат.

Вывод

Самое главное, что нужно вынести из этого урока — HTTPS-инспекция это ОБЯЗАТЕЛЬНЫЙ компонент современной защиты. Без этой функции в вашей сети огромная черная дыра с точки зрения безопасности. И это относится не только к Check Point-у, но и ко всем другим решениям. Обязательно протестируйте свою сеть подобным образом. Все что нужно, это какой-нибудь тестовый вирус и клиентская машина, желательно без антивируса, чтобы тот не смог заблокировать скачивание файла (для чистоты эксперимента).
На этом мы заканчиваем второй урок, спасибо за внимание!

Что такое TLSI – в деталях

TLSI обычно производится устройством прокси, которое открывает чистый текст, лежащий в основе сессии TLS. Это позволяет устройствам проверки трафика вроде фаерволлов, систем обнаружения и предотвращения вторжения (Intrusion Detection/Prevention Systems, IDS/IPS) обнаружить индикаторы угрозы или компрометирования. При этом TLSI также включает проверку старого трафика Secure Sockets Layer (SSL). Ниже в деталях разбираются три основные функции TLSI в прямой прокси (forward proxy): управление потоком трафика прямой прокси, установление сессий TLS и выдача сертификатов доверия. Риски станут очевидными по мере понимания деталей механизма, используемого TLSI.

Поток трафика прямой прокси

Прямая прокси – это сетевое устройство, перехватывающее запросы от внутрисетевых клиентов и направляющее эти запросы на серверы или во внешние сети. Когда внешние серверы отвечают, эти ответы передаются прямой прокси, и потом прямая прокси посылает эти ответы внутрисетевым клиентам. Функционал TLSI, встроенный в прямую прокси, между границей корпоративной сети и внешней сетью, такой, как Интернет, защищает корпоративных клиентов от среды с высокими рисками за пределами прямой прокси.

Риск, связанный с TLSI в прямой прокси – это недостаточный контроль и внешняя обработка дешифрованного трафика на границе корпоративной сети или возле нее. Прямая прокси, направляющая дешифрованный трафик на внешние устройства проверки, может ошибиться при его направлении и выложить конфиденциальный трафик в неавторизованные или слабо защищенные сети.

Читайте также:  Security boot fail acer что делать

Применение фаерволлов и мониторинг сетевого трафика на всех сетевых интерфейсах прямой прокси помогает защитить реализацию TLSI от потенциальных злоупотреблений. Применение аналитики к логам помогает гарантировать, что система работает так, как ожидалось. Оба метода также помогают обнаружить намеренные и ненамеренные нарушения администраторов безопасности и неверно направленный трафик.

Сессии TLS

TLSI происходит в реальном времени, поскольку клиенты TLS устанавливают зашифрованные соединения с внешними серверами. Она дешифрует трафик, заменяя сквозную сессию TLS «цепочкой TLS», состоящей из двух независимо работающих соединений TLS: одно устанавливается между внешним сервером и «прямой прокси», а второе – между прямой прокси и клиентом TLS, который попытался инициировать сессию TLS на внешний сервер. Эти два соединения TLS позволяют принимать решения о том, как обрабатывать (например, блокировать, пропустить, проверить или переслать) трафик одного соединения, прежде чем передать этот трафик другому соединению. Несмотря на то, что у нас два отдельных соединения, данные проходят так, как если бы оно было одно. Такая цепочка TLS рискует потенциальным ухудшением защиты TLS от того, что было принято клиентом. Версия TLS или методы шифрования, используемая одним независимо работающим соединением, могут быть слабее тех, которые используются другим. Это может привести к пассивному злоупотреблению сессией, или злоупотреблению уязвимостями, связанными с более слабыми версиями TLS или методами шифрования.

Настройки безопасности TLS, включая версию, методы шифрования и сертификаты, должны быть правильно настроены, чтобы предотвратить ухудшение TLS. Запрещайте установку слабых версий TLS и методов шифрования в прямой прокси для соединений с внешними серверами. Задайте конфигурацию клиентов, чтобы запретить использование слабых версий TLS и методов шифрования. Для корпораций, имеющих клиентов с устаревшими технологиями, которые требуют слабых версий TLS и методов шифрования, таких, как устаревшие браузеры, ограничьте использование слабых параметров TLS, чтобы прокси работало с ними только для указанных клиентов. Некоторые решения TLSI, присутствующие на рынке, могут иметь настройки, допускающие слабые версии TLS и методов шифрования только в виде исключения.

Доверяйте только сертификатам от надежных центров сертификации (CA) для установления сессий TLS со внешними серверами. Убедитесь, что прямая прокси проверяет имя и срок окончания действия сертификата, его использование, и попытки проверить его статус аннулирования. Неожиданные изменения в сертификатах TLS, полученных от внешних серверов, могут означать атаки злоумышленников на прокси. Отслеживайте серверные сертификаты с течением времени, чтобы обнаружить неавторизованные изменения и сообщить о них администратору безопасности. Примените прозрачность сертификатов, чтобы сообщать владельцам внешних серверов о неавторизованных сертификатах.

Центр сертификации

Устройства прямой прокси TLSI содержат функцию центра сертификации (CA), которая создает и подписывает новые сертификаты, представляющие внешние серверы клиенту: CA, встроенный в прямую прокси, выдает сертификат, отражающий параметры сертификата запрошенного внешнего сервера. Система TLSI использует этот сертификат во время обработки трафика TLS в соединении между клиентами TLS и прямой прокси. Клиенты TLS сконфигурированы доверять этому CA.

Основной риск, связанный с CA, встроенным в TLSI – потенциальное злонамеренное использование этого CA для выдачи неавторизованных сертификатов, которым будут доверять TLS-клиенты. Злоупотребление доверенным CA может позволить преступнику подписывать злонамеренный код, чтобы обойти IDS/IPS хоста или для внедрения злонамеренных сервисов, притворяющихся перед клиентами законными корпоративными сервисами или внешними серверами.

Рис. 2. Взломанный центр сертификации. 1 – взломав CA, встроенный в устройство, атакующий может подделывать сертификаты или подтверждать сертификаты. 2 – если CA взломан, нельзя проверить, откуда клиенты получают данные. 3 – это позволяет атакующим как видеть, так и считывать данные, а также внедрять вредоносные данные. Это относится и к внутреннему (не проверяемому) трафику.Рис. 2. Взломанный центр сертификации. 1 – взломав CA, встроенный в устройство, атакующий может подделывать сертификаты или подтверждать сертификаты. 2 – если CA взломан, нельзя проверить, откуда клиенты получают данные. 3 – это позволяет атакующим как видеть, так и считывать данные, а также внедрять вредоносные данные. Это относится и к внутреннему (не проверяемому) трафику.

Этот встроенный CA должен быть защищен от злоупотреблений, и средства от потенциального взлома должны быть легко доступны. Выпускайте подписанные сертификаты встроенного CA только отдельным CA, доверенным только для целей проверки TLS. Не используйте сертификаты по умолчанию или само-подписанные сертификаты. Отслеживайте неожиданные и неавторизованные сертификаты, выпущенные встроенным CA, в корпоративном трафике. Сконфигурируйте встроенный CA так, чтобы он выдавал только сертификаты с коротким сроком действия. Включите службы релокации сертификатов для сертификатов, кэшированных системой TLSI, и поддерживайте способность отозвать любые неавторизованные сертификаты или сам сертификат, используемый встроенной CA для подписи, при обнаружении неавторизованных сертификатов. Убедитесь, что встроенный CA настроен на выпуск только сертификатов аутентификации TLS-сервера, как отмечено в значении их поля «расширенное использование ключа». Настройте TLS-клиенты доверять отдельному CA, чтобы они доверяли только тем сертификатам, которые выдает система TLSI для аутентификации TLS-сервера. Выпускайте встроенный CA с сертификатом, имеющим ограничение на имена, чтобы установить ограничения для проверки авторизации и предотвратить маскировку злонамеренного кода под корпоративные сервисы.

Если трафик зашифрованный, злоумышленники и государство не могут видеть, что мы делаем в интернете?

Увы, у них есть масса способов получить нужную информацию — от программ-шпионов, которые делают снимки с экранов без ведома пользователей, до репрессий в отношении владельца информации.

Нередко бастионы шифрования падают под натиском хакеров или спецслужб. В апреле 2016 года Федеральное бюро расследований США заявило, что смогло преодолеть защиту одного из смартфонов iPhone, потратив при этом более 1,3 млн долларов.

А вот попытка министерства внутренних дел России взломать анонимную сеть TOR за 3,9 млн рублей в 2014 году окончилась ничем. МВД подало в суд на институт, который вызвался освоить средства, но потом отказалось от иска.

Обычно срабатывает комбинация различных способов проникнуть в личное пространство пользователя, массовое же чтение защищенного трафика в интернете пока невозможно, если возможно вообще.

Автор фото, Getty Images

Взломать iPhone ФБР удалось, несмотря на отказ корпорации Apple сотрудничать и протесты обычных пользователей

"Как правило, трафик расшифровывается целевым образом, — говорит эксперт по конкурентной разведке в интернете Андрей Масалович. — Например, была задача расшифровать TOR — специалисты из MIT (Массачусетского технологического института) частично с ней справились. С какой-то степенью успешности получалось скомпрометировать некоторые варианты протокола [передачи данных между пользователем и сайтом] SSL. Это были отдельные, точечные проекты. Глобальная зачистка поляны, чтобы все читалось в интересах спецслужб, технически мне представляется нереализуемой или очень-очень труднореализуемой".

Windows ХР

Как убрать ошибку сертификата безопасности веб-узла для Windows ХР :

1 . В » хранилище сертификатов » выберите хранилище согласно типу сертификата » автоматически «.

2 . При нажатии » Далее » импортируется и установится сертификат .

3 . Щёлкните » Готово «.

4 . Если предварительно появляется «Предупреждение безопасности , нажмите » ДА» в качестве подтверждения установки .

5 . Поступит уведомление об установке . Щёлкните » ОК» . Процедура завершена .

Выбираем VPN-сервис

VPN-провайдеров — хоть пруд пруди. Ведь это доходный бизнес с низкими порогом вхождения. Если задать такой вопрос на форуме, то сбегутся владельцы сервисов и завалят своей рекламой.

best_vpn

Для помощи в выборе был создан сайт bestvpn.com, где публикуются рейтинги и обзоры VPN-провайдеров.

Вкратце расскажем о лучших VPN-сервисах (по данным bestvpn.com) у которых есть приложение для iOS.

ExpressVPN

express_vpn

96 городов в 78 странах. 30-дневная гарантия возврата денег в случае перебоев работы с сервисом. Есть приложения для OS X, Windows, iOS и Android. Можно работать с 5 устройствами одновременно.

Цена: от $9.99 до $12.95 в месяц (зависит от периода оплаты).

Private Internet Access

pia

25 стран. Есть приложения для OS X, Windows, сайте проекта.

Цена: от $2.50 до $6.95 в месяц (зависит от периода оплаты).

IP Vanish VPN

ip_vanish_vpn

Более 60 стран. Есть VPN-клиенты для iOS, Android, Windows, Mac, Ubuntu, Chromebook и роутеров. Имеется возможность работать сразу с несколькими устройствами.

Цена: от $6.99 до $10.00 в месяц (зависит от периода оплаты).

Vypr VPN

vypr_vpn

50 стран. Есть приложения для OS X, iOS, Windows, Android, Apple TV и роутеров. Как и у предыдущих провайдеров есть возможность работать со всеми устройствами сразу.

Цена: от $6.67 до $10 в месяц (зависит от периода оплаты).

Пользоваться всеми сервисами из списка очень просто – регистрируйтесь, оплачивайте, скачивайте приложение и вперед!

Бесплатные VPN

Главные недостатки бесплатных VPN-сервисов – лимиты скорости и трафика. Впрочем, они являются неплохим вариантом для тех, кому анонимный доступ в сеть нужен всего пару раз в месяц.

Вот 4 топовых провайдера предоставляющих бесплатный доступ (с целью заманить клиентов на платный):

Как удалить сертификат с устройства на Android ?

Устройства. работающие на платформе Android . могут иметь разные оболочки, так как каждый производитель может переделывать её на свой лад, поэтому меню могут выглядеть по-разному, но логика процесса удаления сертификата должна быть схожей для всех гаджетов.

Читайте также:  Зеркальное отражение текста в Microsoft Word

Удалить сертификат Qaznet Trust Network:

  1. Зайдите в настройки устройства.
  2. Найдите и нажмите на строчку «Расширенные настройки«.
  3. В появившемся меню выберите пункт «Конфинедциальность«.
  4. В разделе «Хранилище учётных данных» нажмите на строчку «Надёжные сертификаты«.
  5. В подпункте «Пользователь» найдите и нажмите на сертификат под названием «Qaznet Trust Network«.
  6. В появившемся меню должна быть кнопка «Удалить» нажимайте на неё, а затем на кнопку «Ок«.
  7. Вернитесь обратно в раздел «Конфиденциальность«, найдите в разделе «Хранилище учётных данных» подпункт «Учётные данные пользователя» и нажмите на него.
  8. В появившемся списке найдите и нажмите на строчку QCA или Qaznet Trust Network.
  9. В появившемся окне «Учётные данные» нажмите на кнопку «Удалить«.
  10. Перезагрузите устройство.

Удаление сертификата безопасности Qaznet Trust Network (Andriod).

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

  • Откройте браузер и перейдите в раздел «Настройки».
  • Прокрутите страницу настроек вниз и нажмите «Дополнительные».
  • В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

  • Откроется окно. Перейдите на вкладку «Дополнительно».
  • В этой вкладке вы увидите чекбокс «SSL 3.0».

  • Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?

Доброго дня!

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).

Как работают снифферы?

Хакеры используют снифферы для кражи ценных данных с помощью отслеживания сетевой активности и сбора персональной информации о пользователях. Чаще всего злоумышленники заинтересованы в паролях и учетных данных пользователей. Имея эти данные, можно получить доступ к онлайн-банкингу и учетным записям онлайн-магазинов.

Чаще всего хакеры устанавливают снифферы в местах распространения незащищенного подключения Wi-Fi, например, в кафе, отелях и аэропортах. Снифферы могут маскироваться под подключенное к Сети устройство.

Фото:Leon Neal / Getty Images

Перехватить трафик через сниффер можно следующими способами:

  • путем прослушивания в обычном режиме сетевого интерфейса;
  • подключением в разрыв канала и перенаправлением трафика;
  • с помощью анализа побочных электромагнитных излучений;
  • при помощи атаки на уровень канала и сети, приводящей к изменению сетевых маршрутов.

Как удалить сертификат с устройства на Android?

Устройства, работающие на платформе Android, могут иметь разные оболочки, так как каждый производитель может переделывать её на свой лад, поэтому меню могут выглядеть по-разному, но логика процесса удаления сертификата должна быть схожей для всех гаджетов.

Удалить сертификат Qaznet Trust Network:

  1. Зайдите в настройки устройства.
  2. Найдите и нажмите на строчку «Расширенные настройки«.
  3. В появившемся меню выберите пункт «Конфиденциальность«.
  4. В разделе «Хранилище учётных данных» нажмите на строчку «Надёжные сертификаты«.
  5. В подпункте «Пользователь» найдите и нажмите на сертификат под названием «Qaznet Trust Network«.
  6. В появившемся меню должна быть кнопка «Удалить«, нажимайте на неё, а затем на кнопку «Ок«.
  7. Вернитесь обратно в раздел «Конфиденциальность«, найдите в разделе «Хранилище учётных данных» подпункт «Учётные данные пользователя» и нажмите на него.
  8. В появившемся списке найдите и нажмите на строчку QCA или Qaznet Trust Network.
  9. В появившемся окне «Учётные данные» нажмите на кнопку «Удалить«.
  10. Перезагрузите устройство.

Удаление сертификата безопасности Qaznet Trust Network (Andriod).

Причины: протоколы безопасности, DNS, PROXY и VPN

Все современные веб-обозреватели, прежде чем предоставить доступ к тому или иному интернет-ресурсу, проверяют безопасность соединения. Причем, оценка безопасности происходит по нескольким параметрам. Соответственно, и причин прерывания соединения или появления оповещений типа “соединение с этим сервером небезопасно” может быть несколько:

  • Непредоставление сайтом сертификатов HTTPS и SSL. Это протоколы безопасной связи, которые в обязательном порядке запрашиваются Яндекс браузером при каждом подключении к интернет-ресурсу (любому).*
  • В цепочке соединений есть DNS- или PROXY-сервер, недоступный для проверки. Проблема может возникнуть и при обычном, и при VPN-соединении.

*Система пишет “невозможно установить безопасное соединение” в Яндекс браузере для сайтов, использование которых предполагает заполнение платежных форм и ввод личной информации.

Как устранить проблему

Нужный функционал находится в настройках веб-обозревателя. Как в Яндекс браузере отключить безопасное соединение:

  • Открыть раздел настроек.
  • Прокрутить страницу до конца и нажать на “Дополнительные”.
  • Найти подраздел “HTTPS/SSL”.
  • Нажать на “Управление сертификатами”;
  • Затем в появившемся окошке на “Дополнительно”.
  • Снять отметки с пунктов “Проверка подлинности сервера” и “Проверенный DNS-сервер”.
  • Нажать “Ок”.

Важно! Выполнение описанных действий может поставить под угрозу сохранность ваших личных данных и финансовую безопасность. Поэтому после получения доступа к нужному сайту и завершения работы с ним следует подумать о том, как защитить соединение в браузере Яндекс и вернуть прежние настройки.

Аналогичная проблема может возникнуть и в других браузерах: как устранить ошибку «соединение не защищено» в Mozilla Firefox или Google Chrome.

Почему возникают ошибки SSL-соединения и как их исправить?

Зашифрованный сетевой трафик недоверенный сертификат что делать?

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

SSL-сертификатыЗащита сайтов любого уровняот12 руб/год

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

  • Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
  • Ненадежный SSL-сертификат;
  • Брандмауэр или антивирус, блокирующие сайт;
  • Включенный экспериментальный интернет-протокол QUIC;
  • Отсутствие обновлений операционной системы;
  • Использование SSL-сертификата устаревшей версии 3.0;
  • Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

  • Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
  • Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».
  • Запустится мастер импорта сертификатов. Жмем «Далее».
  • Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:
  • В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.
Читайте также:  Что такое диод PCH в AIDA64

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

  • Откройте браузер и введите команду chrome://flags/#enable-quic;
  • В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.
  • После этого просто перезапустите браузер.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

  • Откройте браузер и перейдите в раздел «Настройки».
  • Прокрутите страницу настроек вниз и нажмите «Дополнительные».
  • В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.
  • Откроется окно. Перейдите на вкладку «Дополнительно».
  • В этой вкладке вы увидите чекбокс «SSL 3.0».
  • Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

  • Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
  • В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
  • Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
  • В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
  • В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
  • Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
  • В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
  • При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.

Средняя оценка: 5.0 Оценили: 1

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.

2) Проверьте дату и время, установленные в Windows

Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

    нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;

Сохранить ссылку как.

далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

  1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
  2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».

далее запустится мастер импорта сертификатов. Просто жмем «Далее».

Мастер импорта сертификатов

после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);

Указываем сертификат, который загрузили

в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».

Поместить сертификаты в доверенные. Далее

5) Обратите внимание на антивирусные утилиты

В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.

Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

Ссылка на основную публикацию