Функция SSL соединения очень важна для корректного использования сайтов, особенно для учреждений, которые активно работают с финансами. Данный протокол безопасности полностью защищает все данные передаваемые клиентом на сервер и наоборот.
Действует данное соединение по принципу шифратора, вся информация, которая подготавливается к передаче между пользователем и сервером, шифруется под определённый ключ. Этим ключом обладает только сервер и ваш обозреватель, после чего данные отправляются в защищенном виде и дешифруются в системе пользователя. Такой подход гарантирует, что ваши данные, даже если их перехватят, будут защищены. Обычно SSL сертификаты приобретают учреждения продающие услуги, товары или занимающиеся онлайн банкингом/рекламой.
Так как текущее соединение используется для обмена важной информацией, то следует особенно осторожно отнестись к работе с такими сайтами, где возникает ошибка SSL.
Также не редкость, что причина проблемы кроется вовсе не в сомнительной безопасности сайта, а в неверных настройках или сбоях работы приложений самого пользователя.
Читайте также: Ошибка 502 bad gateway — что это?
Причины возникновения ошибки SSL
Распространенная ошибка, которую устранить не удастся – это покупка сертификата для сайта у поставщика, который не обладает данными полномочиями или полное отсутствие корневого сертификата. Здесь всё зависит от владельца сайта и вы вряд ли сможете повлиять на это соединение.
Другие причины возникновения ошибки поправимы, так как вызваны неисправностью приложений установленных у вас на компьютере или сбоем системных настроек. Ключевые ошибки SSL:
- Подключение блокируется внешним FrameWall`ом или антивирусным сканером;
- Причина в неверной настройке браузера;
- Время и дата, установленные на компьютере, подверглись сбою;
- Заражение компьютера вирусными программами.
Устранение ошибки SSL
Прежде всего вам следует убедиться, что проблема именно с вашей стороны, для этого следует зайти на сайт с другого браузера, лучше устройства. Если ошибка сохранилась, велика вероятность проблемы с серверной стороны.
В случае, когда проблема во всех браузерах одного устройства, а на других платформах её нет, тогда вам следует проверить антивирус и настройки даты/времени.
Настройка антивируса
Большинство таких приложений включают в себя функции защиты вашего интернет соединения от заражения со стороны недобросовестных сайтов. Для работы приложения требуется сканирование подключения, информации о сайте и передаваемых данных. Такое вмешательство браузером может быть расценено, как перехват трафика, из-за чего и возникает ошибка.
Для устранения проблемы нужно убрать сканирование SSL или HTTPS подключений в настройках антивируса. Делается это подобным образом во всех приложениях, рассмотрим на примере Avast Internet Security:
- Откройте основное окно программы;
- Перейдите на вкладку «Настройки»;
- Далее сделайте клик на вкладку «Активная защита»;
- Выберите меню «Основные настройки»;
- Уберите флажок с чекбокса «Включить сканирование HTTPS».
Вероятно, изменения вступят в силу после перезагрузки компьютера, но как минимум, браузер перезапустить придется.
Настройка браузера
Излишняя безопасность также может быть вредна, об этом свидетельствует данная проблема, если она кроется в браузере. Решением будет выступать понижение уровня безопасности в обозревателе. Рассмотрим на примере Google Chrome:
- Перейдите в настройки браузера;
- Далее в самом низу нажмите на «Показать дополнительные настройки»;
- Найдите графу «Сеть» и нажмите в ней на кнопку;
- Во вкладке «Безопасность» установите уровень надежности в положение «Средний»;
- Далее во вкладке «Конфиденциальность» передвиньте ползунок в положение «Средний».
- Перейдите в раздел «Содержание»;
- В графе «Сертификаты» кликните по кнопке «Очистить SSL».
После всех этих действий обозреватель необходимо полностью перезапустить и снова попробовать перейти на нужный сайт, на котором наблюдалась ошибка.
Изменение настроек времени и даты
Несоответствие данной настройки также может восприниматься как потенциальная опасность и соответственно блокироваться браузером из-за наличия подозрений о сбоях в SSL.
Решается проблема довольно просто, вам просто следует правильно установить данные настройки. Рассмотрим стандартный случай:
- Нажмите по времени в правом нижнем углу экрана;
- Далее перейдите по ссылке «Изменение настроек даты и времени»;
- Зачастую проблема в неправильном часовом поясе, поэтому следует нажать на кнопку «Изменить часовой пояс»;
- Выберите ваш город/страну, если таковой в списке нет, установите любую страну с правильным смещением времени;
- Во вкладке «Время по интернету» кликните на «Изменить параметры» и «Обновить сейчас».
Для случаев, когда изменение времени производится самопроизвольно и оно сбивается с определённой периодичностью, предлагаем изучить подробную статью по данной теме. Для этого перейдите по ссылке, указанной выше.
Очистка системы от вирусов
Обычно здесь замешаны вирусы, которые вызывают дополнительные рекламные баннеры в вашем браузере. Сейчас проблема распространена и набирает обороты, поэтому вам следует обратить на неё внимание. Ошибка вызывается из-за попытки вируса, просканировать сайт и добавить дополнительную рекламу.
Решается проблема легко с помощью приложения Malwarebytes Anti-Malware, которое в автоматическом режиме всё исправит. Существуют и более сложные ситуации, решение, которых описано здесь.
Также следует отметить, что ошибка SSL вовсе не приговор сайту, вы успешно можете войти на него, только на свой страх и риск. Если вы вполне доверяете ресурсу, сделать это можно нажав на ссылку «Дополнительно» после текста ошибки и выбрав «Все равно перейти на сайт». Для того, чтобы в дальнейшем на текущем сайте не возникала подобная проблема, вы можете внести сертификат в список доверенных в браузере.
Помимо всего остального, причиной возникновения ошибки может быть просто неправильная ссылка на сайт, некоторые ресурсы используют защищенное соединение для зарегистрированных пользователей и обычное для гостей. В этом случае, вам следует просто заменить https на http в адресе сайта.
Если у Вас остались вопросы по теме «Как исправить ошибку SSL в браузере?», то можете задать их в комментариях
Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.
Предлагаем разобраться со способами устранения подобных ошибок.
Что такое SSL?
SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.
Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.
Причины возникновения ошибок SSL-соединения
Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:
Но при наличии ошибок она выглядит несколько иначе:
Существует множество причин возникновения таких ошибок. К числу основных можно отнести:
- Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
- Ненадежный SSL-сертификат;
- Брандмауэр или антивирус, блокирующие сайт;
- Включенный экспериментальный интернет-протокол QUIC;
- Отсутствие обновлений операционной системы;
- Использование SSL-сертификата устаревшей версии 3.0;
- Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.
Давайте рассмотрим каждую из них подробнее.
Проблемы с датой и временем
Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.
Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.
Ненадежный SSL-сертификат
Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».
Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:
- Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
- Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».
- Запустится мастер импорта сертификатов. Жмем «Далее».
- Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:
- В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.
После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.
Брандмауэр или антивирус, блокирующие сайт
Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.
Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.
Включенный экспериментальный протокол QUIC
QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.
Показываем как отключить QUIC на примере браузера Google Chrome:
- Откройте браузер и введите команду chrome://flags/#enable-quic;
- В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.
- После этого просто перезапустите браузер.
Этот способ работает и в Windows и в Mac OS.
Отсутствие обновлений операционной системы
Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.
Использование SSL-сертификата версии 3.0
Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):
- Откройте браузер и перейдите в раздел «Настройки».
- Прокрутите страницу настроек вниз и нажмите «Дополнительные».
- В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.
- Откроется окно. Перейдите на вкладку «Дополнительно».
- В этой вкладке вы увидите чекбокс «SSL 3.0».
- Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.
Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера
В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:
- Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
- В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
- Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
- В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
- В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
- Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
- В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
- При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.
Доброго времени суток.
Настроен доступ на сайт https://ir.nalog.ru:8443/ais (Единый гос.реестр юр.лиц (ЕГРЮЛ) и Единый гос.реестр инд.предпринимателей (ЕГРИП)) :
Правило — «Allow Site ir.nalog.ru».
Протоколы — HTTP, HTTPS, 8443 SSL (также настроен SSL-туннель по порту 8443 на Bandwidth Splitter).
From — конкретный компьютер из внутренней сети.
Destination — «http://nalog.ru/*» (URL set), «*Nalog.Ru» (Domain Name set), также пробовал всю External-сеть.
Пользователи — сделал All Users.
Также на рабочий компьютер пользователя установлено КриптоПро, и установлены личные сертификаты для доступа.
Начала возникать ошибка:
По логам ISA: SSL-туннель по 8443 порту устанавливается:
Сами запросы в момент «отлупа»:
Bytes Sent | Bytes Received | Client IP | Destination IP | Destination Port | Protocol | Action | Rule | Result Code | Log Record Type |
0 | 0 | 192.168.181.131 | 213.24.57.10 | 8443 | 8443 SSL | Initiated Connection | Allow Site ir.nalog.ru | 0x0 ERROR_SUCCESS | Firewall |
0 | 0 | 192.168.181.131 | 213.24.57.10 | 8443 | 8443 SSL | Initiated Connection | Allow Site ir.nalog.ru | 0x0 ERROR_SUCCESS | Firewall |
675 | 4033 | 192.168.181.131 | 213.24.57.10 | 8443 | 8443 SSL | Closed Connection | Allow Site ir.nalog.ru | 0x80074e24 FWX_E_CONNECTION_KILLED | Firewall |
Пробовал:
сделать All Outbound Traffic с компьютера пользователя на External,
установить сертификат от ir.Nalog.ru в «Доверенные ЦС» на прокси-сервере,
чистил SSL-кэш в браузере клиента,
чистил cookies в браузере клиента,
сброс параметров настройки IE по умолчанию (Сервис-Свойства-Дополнительно-Сброс),
настройка канала в BSplitter (http-boost 10Мбит/с на 20 сек с уменьшением до 5Мбит/с).
В свойствах протокола «8443 SSL» стоит только фильтр «BSplitter Filter».
Также, у другого пользователя перестала подключаться АРМ Поставщика ZakazRF.ru (тоже с именными сертификатами и КриптоПро), сам АРМ уже явно пишет ошибку «Удаленный хост разорвал подключение».
Насколько понимаю, при отправке http/https-запроса, часть его где-то теряется.
На прокси-сервер приезжали обновления kb2718704, kb2676562, kb2656376-v2, kb2712808; их в последствии откатил — но и это не дало результатов.
В какую сторону копать? Куда ещё можно смотреть?
Set nginx to debug and here is the output.
2018/04/08 11:27:37 [error] 1552#1552: *39078 open() "/srv/www/[redacted]/current/web/favicon.ico" failed (2: No such file or directory), client: 162.158.58.176, server: [redacted], request: "GET /favicon.ico HTTP/1.1", host: "[redacted]", referrer: "https://[redacted]/"
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_do_handshake: -1
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_get_error: 2
2018/04/13 03:12:35 [debug] 6145#6145: *1 epoll add event: fd:20 op:1 ev:80002001
2018/04/13 03:12:35 [debug] 6145#6145: *1 event timer add: 20: 60000:1523589215193
2018/04/13 03:12:35 [debug] 6145#6145: *1 reusable connection: 0
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL handshake handler: 0
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_do_handshake: 1
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL: TLSv1.2, cipher: "ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD"
2018/04/13 03:12:35 [debug] 6145#6145: *1 reusable connection: 1
2018/04/13 03:12:35 [debug] 6145#6145: *1 http wait request handler
2018/04/13 03:12:35 [debug] 6145#6145: *1 malloc: 00005590B1CE93B0:1024
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_read: -1
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_get_error: 2
2018/04/13 03:12:35 [debug] 6145#6145: *1 free: 00005590B1CE93B0
2018/04/13 03:12:35 [debug] 6145#6145: *1 http wait request handler
2018/04/13 03:12:35 [debug] 6145#6145: *1 malloc: 00005590B1CE93B0:1024
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_read: 920
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_read: -1
2018/04/13 03:12:35 [debug] 6145#6145: *1 SSL_get_error: 2
2018/04/13 03:12:35 [debug] 6145#6145: *1 reusable connection: 0
2018/04/13 03:12:35 [debug] 6145#6145: *1 posix_memalign: 00005590B1BB95F0:4096 @16
2018/04/13 03:12:35 [debug] 6145#6145: *1 http process request line
2018/04/13 03:12:35 [debug] 6145#6145: *1 http request line: "GET / HTTP/1.1"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http uri: "/"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http args: ""
2018/04/13 03:12:35 [debug] 6145#6145: *1 http exten: ""
2018/04/13 03:12:35 [debug] 6145#6145: *1 posix_memalign: 00005590B1CE9B50:4096 @16
2018/04/13 03:12:35 [debug] 6145#6145: *1 http process request header line
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "Host: [redacted]"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "Connection: Keep-Alive"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "Accept-Encoding: gzip"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "CF-IPCountry: US"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "X-Forwarded-For: 75.82.11.54"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "CF-RAY: 40aac07bd82477b4-LAX"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "X-Forwarded-Proto: https"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "CF-Visitor: {"scheme":"https"}"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "cache-control: max-age=0"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "upgrade-insecure-requests: 1"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "accept-language: en-US,en;q=0.9"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "cookie: [redacted]"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header: "CF-Connecting-IP: [redacted]"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http header done
2018/04/13 03:12:35 [info] 6145#6145: *1 client sent no required SSL certificate while reading client request headers, client: 108.162.215.129, server:[redacted], request: "GET / HTTP/1.1", host: "[redacted]"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http finalize request: 496, "/?" a:1, c:1
2018/04/13 03:12:35 [debug] 6145#6145: *1 event timer del: 20: 1523589215193
2018/04/13 03:12:35 [debug] 6145#6145: *1 http special response: 496, "/?"
2018/04/13 03:12:35 [debug] 6145#6145: *1 http set discard body
2018/04/13 03:12:35 [debug] 6145#6145: *1 xslt filter header
2018/04/13 03:12:35 [debug] 6145#6145: *1 charset: "" > "utf-8"
2018/04/13 03:12:35 [debug] 6145#6145: *1 HTTP/1.1 400 Bad Request
Server: nginx
Date: Fri, 13 Apr 2018 03:12:35 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 648
Connection: close
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block