Как отключить проверку корневых сертификатов

Обновление корневых сертификатов в Windows

12.01.2022
itpro
Windows 10, Windows 11, Windows 7, Windows Server 2019, Групповые политики
комментарий 31

По умолчанию, все операционные системы семейства Windows автоматически получают и обновляют корневые сертификаты с сайта Microsoft. Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище сертификаты для клиентов и устройств Windows. Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, Windows автоматически скачает с узла Microsoft Update и добавит такой корневой сертификат в доверенные на вашем компьютере.

В этой статье попробуем разобраться, как в Windows вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.

Управление корневыми сертификатами в Windows 10 и 11

Как посмотреть список корневых сертификатов на устройстве Windows?

1. Чтобы открыть хранилище корневых сертификатов компьютера в Windows /Windows Server, запустите консоль mmc.exe ;
2. Нажмите Файл (File) -> Добавить или удалить оснастку (Add/Remove Snap-in), в списке оснасток выберите Сертификаты (Certificates) -> Добавить (Add);
3. В диалоговом окне выберите что вы хотите управлять сертификатами учетной записи компьютера (Computer account);
4. Далее -> Ok -> Ok;
5. Разверните Certificates (Сертификаты) -> Trusted Root Certification Authorities Store (Доверенные корневые сертификаты). В этом списке содержится список доверенных корневых сертификатов вашего компьютера.

Вы можете вывести список доверенных корневых сертификатов на вашем компьютере со сроками их действия с помощью PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:

Get-ChildItem cert:\LocalMachine\root| Where <$_.NotAfter -lt (Get-Date).AddDays(30)>|select NotAfter, Subject

Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой с помощью функцию Экспорта/Импорта.

1. Вы можете экспортировать любой сертификат .CER в файл, щелкнув по нему и выбрав “Все задачи” -> “Экспорт”;
2. Затем с помощью команды Импорт можно импортировать этот сертификат на другом компьютере.

Включить/отключить автоматическое обновление корневых сертификатов в Windows

Как мы уже упомянули, Windows по умолчанию сама обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификатов в Windows через GPO или реестр.

Откройте локальный редактор групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication.

Параметр Turn off Automatic Root Certificates Update в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайт Windows Update. По умолчанию это политика не настроена и Windows всегда пытается автоматически обновлять корневые сертификаты.

Если эта политика не настроена, а сертификаты не обновляются автоматически, проверьте не включен ли вручную параметр реестра, отвечающий за эту настройку. Проверьте значение параметра реестра с помощью PowerShell:

Get-ItemProperty -Path ‘HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot’ -Name DisableRootAutoUpdate

Если команда вернет, что значение ключа DisableRootAutoUpdate=1 , значит на вашем компьютере отключено обновление корневых сертификатов. Чтобы включить его, измените значение параметра на 0.

Ручное обновление корневых сертификатов в Windows 10 и 11

Утилита управления и работы с сертификатами Certutil (появилась в Windows 10, для Windows 7 доступна в виде отдельного обновления), позволяет скачать с узлов Windows Update и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10/11 с доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU c:\PS\roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.

В указанном каталоге появится файл SST, содержащий актуальный список сертификатов. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты. Дважды щелкните по нему.

В открывшейся mmc консоли вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 436 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Для установки всех сертификатов из SST файла и добавления их в список корневых сертификатов компьютера можно воспользоваться командами PowerShell:
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority. В нашем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.

Файл authroot.stl представляет собой контейнер со списком отпечатков (thumbprint) доверенных сертификатов Microsoft в формате Certification Trust List.

Данный файл можно установить в системе с помощью утилиты certutil:

certutil -enterprise -f -v -AddStore «Root» «C:\PS\authroot.stl»

Также вы можете импортировать сертификаты из консоли управления сертификатами (Trust Root CertificationAuthorities –>Certificates -> All Tasks > Import). Укажите путь к вашему STL файлу сертификатами.

После выполнения команды, в консоли управления сертификатами ( certmgr.msc ) в контейнере Trusted Root Certification Authorities (Доверенные корневые сертификаты) появится новый раздел с именем Certificate Trust List (Список доверия сертификатов).

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -enterprise -f -v -AddStore disallowed «C:\PS\disallowedcert.stl «

Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах

Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.

Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:

certutil.exe –generateSSTFromWU roots.sst

Затем сертификаты из данного файла можно установить через SCCM или PowerShell логон скрипт в GPO:
$sstStore = ( Get-ChildItem -Path \\dc01\SYSVOL\winitpro.ru\rootcert\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:

Certutil -syncWithWU -f \\dc01\SYSVOL\winitpro.ru\rootcert\

В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Затем с помощью GPP нужно изменить значение параметра реестра RootDirURL в ветке HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate. Этот параметр должен указывать на сетевую папку, из которой клиентам нужно получать новые корневые сертификаты. Перейдите в секцию редактора GPO Computer Configuration -> Preferences -> Windows Settings -> Registry. И создайте новый параметр реестра со значениями:

Action: Update
Hive: HKLM
Key path: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
Value name: RootDirURL
Type: REG_SZ
Value data: file://\\dc01\SYSVOL\winitpro.ru\rootcert\

Осталось назначить эту политику на компьютеры и после обновления настроек GPO на клиенте проверить появление новых корневых сертификатов в хранилище.

Обновление корневых сертификатов в Windows 7

Несмотря на то, что Windows 7 уже снята с поддержки, есть много пользователей и компаний, в которых она еще используется.

После установки чистой Windows 7 из образа вы может столкнуться, что многие современные программы и инструменты на ней не работают из-за того, что они подписаны с помощью новых сертификатов. В частности, были жалобы, что в Windows 7 64 без обновления сертификатов не удается установить .Net Framework 4.8. или

vs_Community.exe с ошибкой:

После этого вы можете использовать утилиту certutil для генерации SST файла с сертификатами (на этом или на другом компьютере):

certutil.exe -generateSSTFromWU c:\ps\roots.sst

Теперь можно импортировать сертификаты в доверенные:

MMC -> add snap-in -> certificates -> computer account > local computer. Перейдите в раздел Trusted root certification authority, выберите All Tasks -> Import, найдите ваш SST файл (в типе файлов выберите Microsoft Serialized Certificate Store — *.sst) -> Open -> Place all certificates in the following store -> Trusted Root Certification Authorities

Утилита rootsupd.exe для обновления сертификатов в Windows XP

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).

1. Скачайте утилиту rootsupd.exe, перейдя по ссылке (по состоянию на 15.07.2019 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа. На данный момент вы можете скачать утилиту с сайта kaspersky.com — http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip);
2. Для установки корневых сертификатов Windows, достаточно запустить файл rootsupd.exe. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды: rootsupd.exe /c /t:C:\PS\rootsupd
3. Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
   updroots.exe authroots.sst
   updroots.exe -d delroots.sst

Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов. Однако нам чуть позже понадобится файл updroots.exe.

В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на компьютерах Windows, изолированных от Интернета.

Как отключить в Google Chrome проверку сертификатов

Как и любой программный продукт, браузер от Google не застрахован от разного рода ошибок, возникающих в процессе использования. Обычно такие ошибки могут возникать из-за неправильных настроек самого браузера или его конфликта с другим программным обеспечением. Иногда пользователи Chrome сталкиваются с проблемой, когда они не могут открыть определенный сайт и у них на экране появляется сообщение: “Сертификат сайта безопасности не является доверенным”. Ниже мы расскажем о причинах возникновения данной ошибки и способах её устранения.

Зачем отключать проверку сертификатов

Разработчики браузера Google особое внимание уделяют безопасности пользователей. Поэтому в программном коде обозревателя имеются определённые алгоритмы, которые отслеживают безопасность посещаемых сайтов пользователем.

В тех случаях, когда пользователь планирует перейти на подозрительный сайт, алгоритм безопасности обозревателя блокирует такой переход.

Если вы считаете сайт безопасным, а тревогу ложной – в таком случае нужно отключить проверку сертификатов Chrome, чтобы посетить данный ресурс.

Почему возникает ошибка сертификата

Система сертификации призвана сократить риск потери конфиденциальной информации и заражения ПК вредоносными программами при посещении различных сайтов. Поэтому, если при обращении к серверу и обмене с ним данными браузером обнаруживается отсутствие сертификата на сервере или его несоответствие, то возникает ошибка сертификата.

Ошибка сертификата в Google Chrome

Причины такой неполадки могут крыться в программном обеспечении сервера или компьютера клиента. Так, у сервера могут возникнуть следующие проблемы:

• Истёк срок годности сертификата. Зачастую сертификат действителен в течение года и его необходимо продлевать, что не каждый владелец сайта своевременно делает;
• Инсталлированный на сервере сертификат выдан ненадёжной организацией или неправильно установлен;
• Технические неполадки. Администрация сайта может проводить профилактические работы или возникнут различные форс-мажорные обстоятельства, при которых интернет-ресурс будет некорректно функционировать.

Вышеперечисленные проблемы случаются не так часто, как проблемы программного обеспечения на клиентских компьютерах. В этих случаях ошибка сертификата в Chrome может быть обусловлена следующими распространёнными причинами:

• Неправильная настройка времени и даты. Довольно часто время и дата на компьютере может сбиться из-за севшей на материнской плате батарейки. Поэтому убедитесь в том, что системное время и дата корректно отображаются в операционной системе. В противном случае установите текущую дату и время.
• Конфликт обозревателя с установленными расширениями, брандмауэром или антивирусным программным обеспечением. Деактивируйте все установленные в вашем браузере расширения и попытайтесь снова получить доступ к проблемному сайту. Если эти действия не помогли решить возникшую проблему, то попробуйте временно отключить брандмауэр и антивирус.
• Устаревшая версия операционной системы и Google Chrome. Установите более позднюю версию операционной системы и обозревателя.

В случае если на вашем ПК всё в порядке, ошибка сертификации может означать проблемы на стороне сервера и/или реальную угрозу безопасности. Отключайте сертификаты на свой страх и риск.

Как отключить проверку безопасности

Многие версии обозревателя Google Chrome разрешают пользователю самостоятельно отключить проверку сертификатов через интегрированные инструменты в самом браузере. Для этого вам необходимо выполнить следующие действия:

1. Запустите на своём компьютере Google Chrome;
2. В правом верхнем углу браузера нажмите на кнопку с тремя точками;
3. В появившемся меню выберите раздел с названием «Настройки»;
4. Перейдите в «Конфиденциальность и безопасность» и далее в подраздел «Безопасность»;
5. Здесь нажмите на кнопку «Настроить сертификаты»;
6. В новом дочернем окне нажмите на кнопку “Дополнительно”.
7. Уберите галочку с поля “Проверка подлинности сервера”.

Настройка сертификатов в Google Chrome

После всех этих действий закройте браузер Google Chrome, затем снова его запустите, и попробуйте получить доступ к тому сайту, у которого при обращении была ошибка сертификатов.

Использование командной строки

Отключить проверку сертификата в Google Chrome можно посредством применения командной строки. Для этого вам необходимо выполнить следующие действия:

1. Найдите на своём рабочем столе операционной системы ярлык обозревателя Google Chrome;
2. Кликните на нем правой кнопкой мыши;
3. В открывшемся меню выберите “Свойства”;
4. Найдите строку с названием “Объект”.
5. С правой стороны от “Объект” находится символьное поле, в котором указан путь к исполняемому файлу обозревателя;
6. Допишите после пути “ —ignore-certificate-errors” (без кавычек);
7. Сохраните сделанные изменения, нажав кнопку “Ок”.

После этого браузер будет обращаться к сайтам без проверки сертификата.

Настройка сканирования файлов.

В некоторых случаях при ошибке сертификата возобновить доступ к требуемому интернет-ресурсу можно изменив настройки сканирования файлов в обозревателе.

Для этого вам надо зайти в раздел с названием “Личные данные” и убрать галочку со строки, имеющей название ”Защитить устройство от опасных сайтов”.

Этими действия вы отключили свой обозреватель от функции, выполняющей сканирование файлов и проверку вредоносного программного обеспечения.

Настройка сертификатов

Как отключить проверку https в Google Chrome:

1. Скачать с интернета файл с названием Equifax Secure Certificate Authority;
2. В обозревателе перейти в “Настройки” – «Конфиденциальность и безопасность» – «Безопасность»;
3. В этом разделе нажать на кнопку с названием «Настроить сертификаты»;
4. Найти и выделить строку “Доверенные корневые центры сертификации”;
5. C помощью правой кнопки мыши вызвать новое контекстное меню и в нём выбрать подпункт с названием “Все задачи”;
6. В следующем появившемся меню нажать на “Импорт” и выбрать на своём компьютере скачанный с интернета файл сертификата;
7. Пункты 4-6 необходимо повторить с папкой “Сторонние корневые центры сертификации”.

Файл Equifax Secure Certificate Authority

Так можно решить проблему доступа к сайту из-за несоответствия сертификата в обозревателе Google Chrome.

Как отключить проверку корневых сертификатов

Как отключить проверку сертификатов в Chrome, если это мешает посещению сайтов? Есть 3 разных способа. Просто выберите наиболее удобный для себя.

Почему выскакивает проверка сертификатов в Chrome

Обозреватель имеет собственный встроенный алгоритм безопасности. Если пользователь инициировал переход на сомнительный ресурс, программа блокирует действие. Бывает, она реагирует так на небольшие, незнакомые (или малознакомые) ресурсы. Ошибка возникает даже при переходе на веб-страницы Youtube, Mail, Яндекс. В России проблема может объясняться разницей во времени, установленном на устройстве и на серверах портала. Однако не стоит забывать, что система предупреждения изначально должна предупредить посещение потенциально опасных адресов.

Отключение проверки сертификатов Chrome

Если ресурс сомнений не вызывает, необходимо выполнить отключение проверки встроенных сертификатов безопасности Chrome.

Отключение при помощи командной строки

Как отключить автоматическую проверку сертификатов в браузере Chrome:

1. одновременно прожмите Win + R;
2. появится окошко, в котором нужно набрать timedate.cpl;
3. подтвердите команду;
4. выйдет еще одно окно, в котором необходимо перейти на «Время по интернету»;
5. укажите «Изменить параметры»;
6. пометьте низировать с сервером времени в интернете»;
7. выберите «Обновить сейчас»;
8. подтвердите изменения.

Настройка сканирования файлов

Отключение в обозревателе Chrome проверки штатных сертификатов реализуется и через дезактивацию сканирования файлов. Порядок действий следующий:

1. найдите ярлык браузера;
2. кликните по нему правой кнопкой мыши;
3. активируйте «Свойства»;
4. откройте раздел «Ярлык»;
5. отыщите строку «Объект»;
6. в ней указан friendly -адрес. В конце записи добавьте «-ignore-certificate-errors». Это команда на выключение тестирования;
7. сохранитесь.

Команда будет активироваться только при запуске браузера с этого ярлыка.

Настройка сертификатов

Отключение обязательнй проверки сертификатов Google Chrome через их настройку:

1. зайдите в браузер;
2. откройте «Настройки», используя кнопку с троеточием, расположенную справа в конце адресной строки;
3. на новой странице выберите «Конфиденциальность и безопасность»;
4. найдите внизу строку «Настроить сертификаты. Управление настройками и сертификатами HTTPS/SSL»;
5. кликните по ней;
6. в новом окошке жмите «Дополнительно»;
7. уберите галочку в строке «Проверка подлинности сервера».

В последних версиях сервиса такого инструмента может и не оказаться, поскольку опция априори дезактивирована. В этом же блоке «Конфиденциальность…» можно блокировать «Безопасный просмотр». Но тогда устройство будут защищать только брандмауэр и установленный антивирус. Браузер реагировать на угрозы (вирусы, фишинговые сайты) уже не станет.

Заключение

После просмотра нужной информации не забудьте восстановить систему защиты. Если ни один из описанных способов того, как отключить стандартную проверку типовых сертификатов сайтов в Chrome, не помог, воспользуйтесь другим обозревателем.

Как отключить проверку корневых сертификатов

При открытии сайта появляется сообщение «Обнаружена проблема при проверке сертификата» или «Невозможно гарантировать подлинность домена, с которым устанавливается зашифрованное соединение».

Причина

• Небезопасный сайт.
  Ваши учетные данные и другую информацию могут украсть злоумышленники. Мы не рекомендуем открывать такой сайт.
• Изменение стандартных настроек для проверки защищенных соединений.
  Сообщение может появиться при работе с программами, установленными на компьютере. В этом случае верните настройки для проверки защищенных соединений в стандартное значение Проверять защищенные соединения по запросу компонентов защиты по инструкции.

Другие причины, по которым появляется сообщение, и способы их решения смотрите ниже.

Решение

Если сообщение появилось на сайте, в безопасности которого вы уверены (например, это официальный сайт или сайт, который вы регулярно посещаете), исключите его из проверки по инструкции:

Сообщение больше не будет показываться, сайт будет открываться.

Если сообщение появилось на неизвестном сайте:

1. Проверьте ссылку через портал OpenTip.
2. Разрешите однократное открытие сайта, если проверка показала, что ссылка не относится к опасным:
   1. Нажмите в окне браузера Показать детали → Перейти на сайт.
   2. Нажмите Продолжить во всплывающем окне.

   Причины появления сообщения

   • Сертификат отозван. Например, по заявлению владельца, если его сайт взломали.
   • Сертификат выписан нелегально. Сертификат должен быть получен в удостоверяющем центре после прохождения проверки.
   • На компьютере нет обновлений корневых сертификатов Windows. Например, 30 сентября 2021 года истек срок действия корневого сертификата DST Root CA X3, на котором основаны сертификаты сайтов в браузере. В этом случае:
     1. Нажмите Посмотреть сертификат в сообщении об ошибке.
     2. Перейдите на вкладку Путь сертификации и посмотрите, на каком корневом сертификате Windows основан сертификат сайта.
     3. Обновите корневые сертификаты Windows 7, 8, 8.1, 10, 11 по инструкции.

   Если проблема в работе sbrf.ru, gosusligi.ru и других отечественных сайтов, установите сертификаты МинЦифры по инструкции на сайте Госуслуг.

   • Цепочка состоит из одного самоподписанного сертификата. Такой сертификат не заверяется удостоверяющим центром и может быть опасен.
   • Цепочка не завершается доверенным корневым сертификатом.
   • Цепочка содержит сертификаты, которые не предназначены для подписания других сертификатов.
   • Истекло или не наступило время действия корневого или промежуточного сертификата. Удостоверяющий центр выдает сертификат на определенный срок.
   • Цепочка не может быть выстроена.

   Как исключить сайт из проверки в Kaspersky Standard, Plus, Premium

   1. Нажмите в главном окне приложения «Лаборатории Касперского».
   2. Перейдите в Настройки безопасности.
   1. Перейдите в Настройки сети в блоке Расширенные настройки.
   1. Нажмите Доверенные адреса → Добавить.
   1. Укажите адрес сайта из сообщения о недоверенном сертификате, выберите Активно и нажмите Добавить.
   1. Нажмите Сохранить.
   2. Нажмите Сохранить → Подтвердить.

   Как исключить сайт из проверки в Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Security Cloud, Kaspersky Small Office Security

   1. Нажмите в главном окне приложения «Лаборатории Касперского».
   2. Перейдите в раздел Настройки сети и нажмите Доверенные адреса (для версии 21.2 и ниже — Настроить исключения).
   Похожие публикации:

   1. В какое время лучше покупать акции
   2. Как осуществляются платежно расчетные функции цб
   3. Какие есть программы по ипотеке
   4. Сколько сейчас минимальная пенсия по старости