Как заставить браузер доверять самоподписанному сертификату
Перейти к содержимому

Как заставить браузер доверять самоподписанному сертификату

  • автор:

Как заставить браузер доверять самоподписанному сертификату

В этом разделе описывается порядок добавления самоподписанных сертификатов, созданных при установке Kaspersky CyberTrace, в доверенное хранилище. Таким образом устраняются предупреждения о безопасности, выдаваемые браузерами.

Информация в этом разделе применима к ситуации, когда пользователь работает с веб-интерфейсом CyberTrace Web с того же сервера, на котором запущен веб-интерфейс CyberTrace. Если элемент GUISettings > HTTPServer > ConnectionString в конфигурационном файле Kaspersky CyberTrace Service ссылается на внешний интерфейс, веб-интерфейс CyberTrace не будет считаться доверенным, поскольку самоподписанный сертификат может использоваться только с адресами https://127.0.0.1 и https://localhost .

Чтобы избежать потенциальных угроз безопасности, рекомендуется использовать доверенный сертификат, подписанный центром сертификации (ЦС).

Придание самоподписанному сертификату доверенного статуса в браузере (веб-интерфейс CyberTrace открывается в Internet Explorer, установленном в системе Windows)

Придание сертификату доверенного статуса в браузере требует последовательного выполнения следующих трех процедуры:

Чтобы сохранить сертификат в локальный файл, выполните следующие действия:

  1. Откройте адрес https://127.0.0.1 или https://localhost в Internet Explorer®. Браузер сообщает о проблеме с сертификатом безопасности веб-сайта. Сообщение об ошибке: возникла проблема с сертификатом безопасности этого веб-сайта.Сообщение об ошибке сертификата
  2. Выберите ссылку Continue to this website (not recommended) . В адресной строке появляется сообщение Ошибка сертификата .
  3. Нажмите на сообщение Certificate Error . Откроется окно Untrusted Certificate . Окно Untrusted Certificate.Окно Untrusted Certificate
  4. Выберите ссылку View certificates . Откроется окно Certificate с информацией о сертификате CyberTrace. Окно Certificate. Вкладка General.Окно Certificate
  5. Выберите вкладку Details и нажмите Copy to File , чтобы создать локальную копию сертификата. Запустится мастер экспорта сертификата. Мастер экспорта сертификатов. Окно приветствия.Мастер экспорта сертификатов
  6. Следуйте инструкциям мастера. При экспорте сертификата используйте настройки мастера по умолчанию.

Чтобы запустить процесс импорта сертификата через Microsoft Management Console (MMC), выполните следующие действия:

  1. Из поля Search перейдите в поле Run и введите mmc . Теперь можно запустить MMC от имени администратора. Окно Run. Open: mmc.Запуск MMC
  2. В открывшейся консоли MMC выберите File > Add/Remove Snap-in . Консоль на основе MMC Меню File.Выбор Add/Remove Snap-in Откроется окно Add or Remove Snap-ins .
  3. В списке Available snap-ins выберите Certificates , затем нажмите на кнопку Add . Окно Add or Remove Snap-ins. Доступные оснастки слева, выбранные оснастки справа.Добавление оснастки сертификатов Откроется окно Certificates snap-in .
  4. Выберите Computer account и нажмите кнопку Next . Окно Certificates snap-in.Выберите Computer account В открывшемся окне Select Computer нажмите на кнопку Finish . Окно Select Computer.Выбор Local computer
  5. В дереве выберите Certificates (Local Computer) > Trusted Root Certification Authorities , нажмите правой кнопкой мыши на элемент Certificates , затем выберите пункт контекстного меню All Tasks > Import . Консоль на основе MMC Список сертификатов. Контекстное меню сертификата.Выбор Import Запустится мастер импорта сертификата.

Чтобы добавить сохраненный сертификат в хранилище доверенных корневых центров сертификации, выполните следующие действия:

  1. На странице приветствия мастера нажмите на кнопку Next . Мастер импорта сертификатов. Окно приветствия.Мастер импорта сертификатов
  2. Нажмите кнопку Browse и выберите сертификат, который был сохранен в описанной выше процедуре «Придание самоподписанному сертификату доверенного статуса в Internet Explorer». Мастер импорта сертификатов. Указан файл CER.Импорт ранее сохраненного сертификата
  3. На следующей странице мастера «Certificate Import Wizard» нажмите на кнопку Next . Мастер импорта сертификатов. Указаны доверенные корневые центры сертификации.Выбор хранилища сертификатов
  4. На последней странице мастера импорта сертификатов нажмите на кнопку Finish . Мастер импорта сертификатов. Финальное окно.Завершение импорта сертификата
  5. Закройте консоль на основе MMC и перезапустите браузер. Проблема безопасности (недоверенный сертификат) устранена, как показано на рисунке ниже. Окно Website Identification.Website identification

Придание самоподписанному сертификату доверенного статуса в браузере (веб-интерфейс CyberTrace открывается в Google Chrome, установленном в системе Windows)

Чтобы сделать самоподписанный сертификат для веб-интерфейса CyberTrace доверенным при использовании Google Chrome, выполните следующие действия:

  1. Откройте адрес https://127.0.0.1 или https://localhost в Google Chrome. В адресной строке отображается предупреждение о том, что соединение с сайтом небезопасно.
  2. Нажмите на сообщение Not secure . Откроется окно со сведениями о безопасности веб-сайта. Сообщение об ошибке: Небезопасное соединение.Сведения о безопасности
  3. Нажмите Certificate , чтобы просмотреть информацию о сертификате. (При наведении указателя мыши на Certificate отображается всплывающая подсказка Show certificate ).
  4. В открывшемся окне Certificate выберите вкладку Details и нажмите Copy to File , чтобы создать локальную копию сертификата. Запустится мастер экспорта сертификата. Мастер экспорта сертификатов. Окно приветствия.Мастер экспорта сертификатов
  5. Следуйте инструкциям мастера. При экспорте сертификата используйте настройки мастера по умолчанию.
  6. После сохранения сертификата на локальном диске откройте его и добавьте в хранилище доверенных корневых центров сертификации, как описано в процедуре для Internet Explorer.
  7. Перезагрузите браузер.

Придание самоподписанному сертификату доверенного статуса в браузере (веб-интерфейс CyberTrace открывается в Mozilla Firefox)

Добавление веб-интерфейса CyberTrace в список доверенных веб-адресов Mozilla Firefox выполняется, чтобы в браузере не отображались предупреждения о сертификате.

Придание самоподписанному сертификату доверенного статуса в браузере (веб-интерфейс CyberTrace открывается в браузере для Linux)

Процедуры импорта сертификата как доверенного с помощью браузера (в системах Linux) различаются в зависимости от используемого браузера и дистрибутива Linux. Однако в этих процедурах есть общие шаги: открытие формы настроек браузера и использование этой формы для импорта сертификата в хранилище.

Чтобы вручную придать самоподписанному сертификату статус доверенного для браузера в системе Linux, выполните следующие действия:

  1. Создайте каталог /usr/local/share/ca-certificates/ , если он не существует на сервере: mkdir /usr/local/share/ca-certificates/
  2. Скопируйте корневой сертификат (файл .crt) в созданный каталог: cp /usr/local/share/ca-certificates/
  3. Обновите сертификаты: sudo update-ca-certificates Если у пакет ca-certificates не установлен, установите его с помощью используемого в системе менеджера пакетов.

Удаление сертификата из списка доверенных

После перенастройки или удаления CyberTrace старые сертификаты больше не используются CyberTrace. Их можно удалить из списка доверенных сертификатов.

Чтобы удалить сертификат из списка доверенных сертификатов (в Windows), выполните следующие действия:

Список сертификатов. Выбраны сертификаты в доверенных корневых центрах сертификации.

  1. Откройте консоль управления сертификатами и выполните следующую команду: certmgr.msc
  2. В дереве выберите Trusted Root Certification Authorities > Certificates . Консоль управления сертификатами
  3. В области результатов щелкните добавленный сертификат правой кнопкой мыши и выберите команду Delete .

В системе Linux процедура удаления выполняется аналогично добавлению сертификата: откройте список доверенных сертификатов и удалите ненужные.

Почему браузеры не доверяют самоподписанным SLL-сертификатам даже в случае localhost?

введите сюда описание изображения

Суть неавторитетных HTTPS-сертификатов в случае опубликованных в интернете сайтов более-менее ясна. Но почему браузеры поднимают тревогу на localhost-е? Как-то странно видеть подобные сообщения для сайтов/приложений, которые доступны по localhost-у. Что, кто-то другой может использовать мой localhost для публикации своих мошеннических сайтов? Если нет, то должна быть какая-то причина, по которой разработчики браузеров не доставили localhost в белый список.

Отслеживать
задан 4 июн 2023 в 3:05
Боков Глеб Боков Глеб
1,116 2 2 золотых знака 25 25 серебряных знаков 71 71 бронзовый знак

Доверять localhost — странная идея. Кому именно браузер должен доверять? Принцип серверных сертификатов заключается в том, что привязывается доменное имя к контролируемому набору серверов. localhost не имеет такой привязки: на каждой сетевой машине свой сервер на этом адресе. Браузер понятия не имеет, кто именно скрывается за localhost на каждом компьютере. Поэтому и не доверяет.

4 июн 2023 в 16:44

@PakUula. Благодарю Вас за комментарий!. В целом я Вас понял, но всё-таки проведу конкурс — всё-таки тема актуальная и уверен, многим будет интересна вне зависимости он языка программирования.

10 июн 2023 в 3:51

Ну, можно переопределить в hosts — и localhost будет вести уже на какой-то другой домен в интернете. И это может сделать вредоносное ПО. Суть сертификатов в том, чтобы такой трюк не прошёл: например открыли вы gmail, а там предупреждение о сертификате — это значит 100% кто-то подменил домен, чтобы стащить ваш пароль.

10 июн 2023 в 18:32

@ГончаровАлександр ну если вредоносное ПО может писать в hosts, то ему не составит труда и добавить левый сертификат в хранилище доверенных

12 июн 2023 в 19:12

@andreymal труда составит, в том то и дело — подменить домен в hosts, это просто. А подменять центры сертификации, или механику работы https в браузере, или сам браузер — это уже сложно, и оставит много следов для средств защиты(попробуйте добавить доверенный сертификат для vk например, и запись в хостс для vk — будут предупреждения от безопасности). То есть усложняется работа над взломом многократно, усложняется распространение вируса.

14 июн 2023 в 12:02

2 ответа 2

Сортировка: Сброс на вариант по умолчанию

Браузеры не доверяют самоподписанным SSL-сертификатам, даже если вы пытаетесь использовать их на локальном хосте, потому что это может привести к возможности атаки «человек-в-середине» (man-in-the-middle attack).

Самоподписанный SSL-сертификат может быть создан любым человеком, и браузеры не могут проверить, что он настоящий и действительно принадлежит веб-серверу, к которому вы пытаетесь подключиться. Это может открыть возможность для злоумышленников перехватить ваше соединение, перехватывая трафик и перенаправляя его на свой сервер.

Чтобы предотвратить эту атаку, браузеры доверяют только тем сертификатам, которые были выданы доверенными центрами сертификации CA, как (Let’s Encrypt](https://letsencrypt.org/ru/docs/certificates-for-localhost/). Эти компании проверяют, что доменное имя, для которого вы запрашиваете сертификат, действительно принадлежит вам, и выдаете сертификат, который может быть использован для подключения к вашему веб-серверу.

Если вы работаете на локальном хосте и не хотите покупать действительный SSL-сертификат, вы можете использовать сертификат, который был выдан локальным CA, например OpenSSL. Для этого вам нужно создать самоподписанный сертификат с помощью OpenSSL, а затем добавить его в доверенные сертификаты вашего браузера.

Как сделать сайт надёжным в Google Chrome

Рассказываем, что делать, если на сайте появилась пометка «Ненадёжный»

С 2017 года Google Chrome стал различать, есть ли на сайте SSL-сертификат. Если есть, в адресной строке появится пометка «Надёжный». Если нет или сертификат установлен неправильно — «Ненадёжный». В Google считают, что это побудит пользователей оставлять личные данные только на защищённых сайтах.

Разберёмся, какой сайт Google Chrome посчитает ненадёжным, и как это исправить.

Браузер подскажет, если на сайте небезопасно вводить пароль или номер карты

Как до 2017 года отличали надёжные сайты от ненадёжных

Отличительные знаки при переходе на разные сайты в браузере были и раньше. Просто не все обращали на них внимание.

На сайте с SSL-сертификатом в адресной строке браузера был только значок замка. Вот как это выглядело в популярных браузерах:

На сайте без SSL-сертификата не появлялось предупреждений, хотя на них небезопасно вводить личную информацию. Выглядят эти сайты вот так:

На сайте с неправильно установленным SSL-сертификатом в Firefox появлялось предупреждение: замочек с желтым треугольником. В других браузерах сайт выглядит безопасно. Но если вы оставите на нём личные данные, их всё равно смогут перехватить.

Первым браузером, который изменил подход к предупреждениям, стал Google Chrome

Иногда пометки помогали определить, есть на сайте сертификат или нет. Но они не давали понять, что на сайтах без SSL-сертификатов опасно оставлять личную информацию: номера банковских карт, пароли, адреса электронной почты и т.д. Первым браузером, который изменил подход к предупреждениям, стал Google Chrome.

Хотите сделать свой сайт защищенным?

Как изменились отметки безопасности в 2017 году

В 2016 году сотрудники Google провели социологическое исследование: узнали у 1329 человек, как часто они обращают внимание на значки в адресной строке браузера. Больше половины участников признались, что замечают значки, но не всегда понимают их значение.

В 2017 году дополнительные знаки безопасности появились в Google Chrome и Firefox. В других браузерах ничего не изменилось. Рассмотрим изменения подробнее.

SSL в Google Chrome

В январе 2017 года разработчики Google выпустили обновление, в котором появились дополнительные отметки безопасности.

Когда пользователь переходит на сайт в Google Chrome, браузер проверяет, установлен ли на сервере SSL-сертификат и подсказывает надёжен сайт или нет. Разберём, как выглядят уведомления.

На сайте с SSL-сертификатом в адресной строке Google Chrome появляется зелёный замок и надпись «Надёжный».

На сайте с неправильно установленным SSL-сертификатом возле адреса страницы появляется красный треугольник и надпись «Ненадёжный».

Есть четыре причины, по которым браузер может показать такое сообщение:

1. Сайт использует протокол HTTPS, но на сервере нет SSL-сертификата.

2. Сертификат установили неправильно. При этом на странице отобразится название ошибки. В базе знаний Google есть страница с описанием ошибок.

3. Установлен самоподписанный сертификат. Браузеры распознают не все сертификаты. Если вы установили бесплатный SSL-сертификат от неизвестного производителя, в Google Chrome отобразится ошибка.

4. Сертификат устарел. У сертификатов бывают разные алгоритмы шифрования. Стандартным считается алгоритм SHA-2. Если сертификат использует предыдущий алгоритм — SHA-1, в браузере появится предупреждение.

На сайте без SSL-сертификата появляется серый кружок и надпись «Ненадёжный».

О каждом нововведении Google заранее рассказывает в блоге. Следите за обновлениями, чтобы быть в курсе.

SSL в Firefox

В январе 2017 разработчики Mozilla выпустили обновление, в котором появился новый значок для сайтов без SSL-сертификата.

При переходе на сайт, где используется протокол HTTP и есть контактные формы, возле адреса страницы появится перечёркнутый значок.

Кроме того, когда пользователь вводит пароль, рядом с контактной формой появляется предупреждение, что данные могу перехватить. Вот как это выглядит в браузере:

В будущем разработчики Firefox планируют отображать предупреждения на всех сайтах, которые не используют протокол HTTPS. Об этих и других изменениях можно почитать в блоге компании Mozilla.

Что делать, если сайт помечен как ненадёжный

Установите SSL-сертификат

Каждый раз, когда пользователь вводит личную информацию на сайте без сертификата, есть риск, что её перехватят злоумышленники. Мы хотим, чтобы пользовательские данные оставались в безопасности. В отдельной статье мы разбираем сертификаты по категориям, чтобы вам было проще выбрать подходящий.

Настройте SSL-сертификат

Если у вас уже есть SSL-сертификат, но браузер не распознаёт его, обратитесь за помощью к вашему SSL-провайдеру. Для тех, кто покупал сертификат у нас, работает служба поддержки. Ребята помогут разобраться в чём проблема и посоветуют решение. Отвечаем на ваши вопросы в чате, по электронной почте и по телефону. Работаем круглосуточно и без выходных.

Как заставить chrome доверять сертификату?

Добрый день!
Хочу защитить вебсокетный трафик между мной и моим прилоением, работающей на AWS EC2.

Сделал себе самоподписной сертификат по этой инструкции: 

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 3650 -nodes # настройки сертификата Country Name (2 letter code) [AU]:RU State or Province Name (full name) [Some-State]:Moscow Locality Name (eg, city) []:Moscow Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test LLC Organizational Unit Name (eg, section) []:Test Common Name (e.g. server FQDN or YOUR name) []: Email Address []:a@b.c

60fabf72181a4452239827.png

Добавил его в Keychain (у меня macOS) и заставил систему доверять ему:

Перезапустил хром и обратился с приложению. Хром по-прежнему не доверяет моему сертификату.
60fac06faf0d6522923302.png
60fac04336bba773168260.png
хотя если ткнуть в хроме на сертификат, откроется Keychain, в которой сертификат указан как доверенный (см. рис.1).

  • при создании сертификата в CN указывать *
  • при создании сертификата в CN указывать IP-адрес 10.10.1.91
  • при создании сертификата в CN указывать домен test.local и прописывать в /etc/hosts 10.10.1.91 test.local

Нажимать «дополнительно — бла-бла-бла» не вариант, т.к. весь трафик от моего приложения идет по веб-сокету, а попытка подключиться к wss:// всегда завершается ошибкой, если хром не принимает сертификат как достоверный.
Ничего из вышеперечисленного не помогает. Как же все-таки заставить хром доверять моему сертификату, если я этого хочу?

  • Вопрос задан более двух лет назад
  • 1462 просмотра

9 комментариев

Средний 9 комментариев

Похожие публикации:
  1. Как вышить фотографию крестом программа
  2. Как проверить запрос на пустоту 1с
  3. Как проверить наличие класса jquery
  4. Как прозвонить кулер мультиметром

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *