Почему вам надо обновить свои SSL сертификаты. Обновление корневых сертификатов в Windows

Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат».

Статья предназначена, в основном, для администраторов веб-серверов. Причина, по которой вам возможно предстоит досрочно обновить сертификат вашего сервера заключается в том, что распространенный алгоритм хэширования SHA-1 сегодня считается небезопасным.

«При чем тут вообще хэширование? Сертификаты же основаны на ассиметричном шифровани», - скажут некоторые. Дело в том, что сертификат - это не просто открытый ключ с дополнительной информацией, но и подпись сервера, а для нее используется хэш-функция.

Стойкость хэш функции заключается в отсутствии коллизий. То есть, невозможность подобрать отличное от исходного сообщение с точно таким же значение хэша. Говоря проще и относительно сертификатов: хэш-функция - хорошая, если невозможно (следует читать «крайне трудно», так как ничего невозможного нет) подделать сертификат, но оставить ту же подпись удостоверяющего центра (УЦ). Таким образом, поддельный сертификат может получиться вполне валидным с точки зрения браузеров, операционных систем и вообще с точки зрения вполне вменяемой проверки. Так вот стойкость к коллизиям алгоритма SHA-1 под очень большим сомнением. Известный криптограф Брюс Шнайер рассчитал , что реализация атаки коллизии на SHA-1 будет вполне по силам организованной преступности уже к 2018 году.

Итак, мы подошли к тому, что в скором времени использовать SHA-1 для подписи сертификатов станет небезопасно. Ну и, конечно, заменить SHA-1 призван SHA-2. Microsoft и Google принимают некоторые шаги, чтобы ускорить процесс миграции на SHA-2.

Google

В ближайшей версии браузера Chrome под номером 41 будет такая реакция на сертификаты, использующие SHA-1:

Microsoft

Если ваш сертификат, использующий SHA-1 для подписи, заканчивается в 2017 году или позднее, то вам придется его менять досрочно. Причем это касается не только сертификатов веб-серверов, но и сертификатов для подписи кода. Кроме того, с начала 2016 года Microsoft перестает доверять сертификатам с SHA-1, которые используются для подписи кода без отпечатка времени.

Что делать?

Ответ простой. Если вы хотите, чтобы пользователи вашего интернет магазина или корпоративного портала не закрывали в ужасе страницу с ошибкой сертификата, обновите его заблаговременно.

Стоит учитывать, что для успешной валидации сертификата нужно, чтобы все сертификаты в цепочке использовали SHA-2. А вот если корневой УЦ использует SHA-1, то сильно беспокоиться не стоит, ведь браузеры не проверяют подпись сертификатов корневых доверенных УЦ, а просто ищут их в соответствующем списке.

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов .

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Утилита rootsupd.exe
Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil
Список корневых сертификатов в формате STL

Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil

Последняя версия утилиты для управления и работы с сертификатам Сertutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий сертификаты.

Как вы видите, откроется знакомая оснастка управления сертификатами, из которой вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 358 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO .

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots. exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab . Он содержит один файл .

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ().

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab ), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

Шаг 1. Удаление старых сертификатов из контейнера cacer.p7b

В проводнике наберите в адресной строке адрес: «mmc.exe» (без кавычек) и нажмите Enter.

Откроется окно консоли управления Microsoft.

В основном меню консоли, выберите «Файл» — «Добавить или удалить оснастку». Будет открыто окно «Добавление и удаление оснасток».

В левом списке выберите пункт «Сертификаты» и нажмите на кнопку «Добавить». Будет открыто окно «Оснастка диспетчера сертификатов».

Нажмите на кнопку «Готово». Окно «Оснастка диспетчера сертификатов» будет закрыто, Вы вернетесь в окно консоли управления Microsoft.

В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Доверенные корневые центры сертификации». Выберите пункт «Сертификаты». В центральной части будут отображены сертификаты выбранного раздела.

В списке сертификатов (центральная часть) найдите сертификаты, выданные УЦ КРИПТО-ПРО (6 сертификатов). Выделите найденные сертификаты и нажмите правую кнопку мыши. В контекстном меню выберите пункт «Удалить».

Будет открыто окно предупреждения. Сертификаты КРИПТО-ПРО не являются ключевыми и могут быть удалены без последствий. Нажмите «Да».

Перед удалением каждого из сертификатов контейнера будет выводиться окно подтверждения на удаление. Во всех окнах следует нажать кнопку «Да»

Шаг 2. Удаление старого сертификата безопасности для веб-узла сroInform.ru

В левом списке раскройте дерево «Сертификаты — текущий пользователь». Раскройте пункт «Другие пользователи». Выберите пункт «Сертификаты».

При входе в систему Контур.Экстерн будет предложено обновить квалифицированный сертификат (КЭП), если до окончания срока его действия осталось менее 60 дней. Также обновить КЭП будет предложено, если ранее пользователь обращался в сервисный центр по вопросу незапланированной замены сертификата.

Описанная ниже инструкция не подходит абонентам 78 и 47 регионов, сертификаты которых выданы Удостоверяющим центром ФГУП ЦентрИнформ.

Для обновления следует:

1. При входе в Контур.Экстерн нажать кнопку «Отправить заявку на обновление» рядом с сертификатом, который необходимо обновить.

Если сертфикат не истек, то появится кнопка «Запросить сертификат », нужно ее нажать.

2. В открывшемся окне указать номер телефона, на который будет удобно получить пароль для входа, и нажать кнопку « Получить пароль». Ввести поступивший пароль и нажать кнопку «Войти».

Если сообщение с паролем не поступило, следует нажать на ссылку «Получить код повторно». Если после повторного запроса сообщение также не поступит, то следует обратиться в техническую поддержку.

При входе в личный кабинет может потребоваться установка последней версии компонента Kontur.Toolbox. Следует нажать кнопку «Скачать приложение», скачать и установить компоненту. После этого обновить страницу.

Шаг 1: Проверьте данные

С 08.07.2016 Удостоверяющий центр обязан регистрировать все выдаваемые КЭПы в единой системе идентификации и аутентификации (ЕСИА) в соответствии с изменениями в 63-ФЗ ст.18 п.5 . Регистрация будет происходить автоматически при выдаче сертификата. Для этого необходимо заполнить дополнительные данные документов, удостоверяющих личность:

дата рождения;
место рождения;
гражданство (заполняется только для иного документа, удостоверяющего личность).

После заполнения дополнительной информации, необходимо нажать кнопку «Сохранить».

Появится окно «Заявление подписано». Заявление, подписанное действующим обновляемым сертификатом, не нужно распечатывать, подписывать вручную и предоставлять в сервисный центр.

Если срок действия старого сертификата уже истек, то следует воспользоваться ссылкой «Распечатайте заявление и подпишите вручную» и нажать кнопку «Скачать и распечатать заявление».

Если у нового сертификата будет другой владелец (ФИО и/или СНИЛС в старом и новом сертификатах будут отличаться), для изменения данных, необходимо выбрать ссылку «Редактировать» около поля «Владелец сертификата». После сохранения данных, появится кнопка «Скачать и распечатать заявление». Для отправки заявки на проверку, следует воспользоваться .

Если владелец останется прежним, но необходимо изменить его паспортные данные, электронную почту, должность или подразделение, необходимо отредактировать эти данные и подписать заявление старым сертификатом.

Если реквизиты организации указаны неверно, то следует обратиться в по месту подключения.

Шаг 2: Проверьте документы

Если все загруженные документы актуальны, необходимо нажать кнопку «Отправить заявку». Если необходимо заменить документ, то нужно нажать « Показать», а затем кнопку «Удалить » .

Шаг 3: Отправьте заявку

Появится окно «Заявка отправлена и одобрена». Если данные в сертификата не изменились, следует поставить галку у пункта «Я подтверждаю свое согласие на выпуск сертификата электронной подписи с указанными данными» и нажать кнопку «Выпустить сертификат».

Если вместо окна для выпуска сертификата появится сообщение «Оплатите счет», то следует обратиться в сервисный центр по месту подключения.

Выпуск сертификата

В открывшемся окне следует выбрать, куда будет записан сертификат - на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера. После выбора носителя, необходимо нажать «Далее».

Если выбрать «Реестр», то сразу поле этого появится датчик случайных чисел.

Если выбрать «Съемный носитель», то в следующем окне потребуется отметить, на какой именно носитель будет записан закрытый ключ сертификата. Поле выбора носителя появится датчик случайных чисел.

В окне датчика случайных чисел следует нажимать клавиши или двигать курсором мыши в области окна датчика.

В окне установки pin-кода на создаваемый контейнер следует ввести стандартное значение 12345678 и нажать «ОК». Если стандартный пин-код на рутокене был изменен, то в данном окне следует вводить пин-код, установленный самостоятельно.

Если сертификат был запрошен на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуется оставить его пустым и нажать «ОК». При утере пароля восстановить его будет невозможно!

Начнется процесс выдачи сертификата удостоверяющим центром, который занимает до 60 минут.

После запроса на выпуск сертификата в течение двух минут на номер телефона, указанный в заявлении на изготовление сертификата, вновь поступит сообщение с паролем. В открывшемся окне личного кабинета следует ввести полученный пароль и нажать на кнопку «Подтвердить».

Как только открытый ключ сертификата будет выдан, появится кнопка «Установить сертификат». Следует нажать на нее.

Сертификат установлен и готов к использованию. Рекомендуем сделать копию сертификата на случай утери или повреждения ключевого носитля. Чтобы скопировать контейнер, нажмите на кнопку «Сделать резервную копию».

Укажите, куда записать копию сертификата — на съемный носитель (рутокен, дискета, флешка) или в реестр компьютера.

Укажите пин-код, если копируете сертификата с рутокена или рутокен-лайта. Если копируете сертификат на дискету, флешку или в реестр, то появится окно ввода пароля. Рекомендуем оставить поля для паролей пустыми и нажать «ОК». Восстановить утерянный пароль невозможно!

Сертификат скопирован.

Обязательно необходимо сохранять все устаревшие сертификаты, с которыми когда-либо производилась работа в системе. Они потребуются для расшифровки старых документов. Для удобства рекомендуется копировать такие сертификаты в реестр (см. ).

После получения нового сертификата в системе Контур.Экстерн необходимо:

Зайти в раздел меню «Реквизиты и настройки» > «Реквизиты плательщика» и выбрать новый сертификат для подписи отчетов ФНС и Росстат.
Войти в раздел «ПФР» > «Регистрационная информация ПФР», выбрать новый сертификат для подписания отчетности и отправить регистрационную информацию в ПРФ.
Обратиться в УПФР и уточнить, нужно ли перезаключать соглашение об электронном документообороте с ПФР или можно отчитываться со старым.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия, см. статью об ошибке в Chrome « «), либо с установкой / запуском подписанных приложений или .

Утилита rootsupd.exe

Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Получения списка корневых сертификатов с узла Windows Update с помощью Certutil

Последняя версия утилиты для управления и работы с сертификатам Certutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

certutil.exe -generateSSTFromWU roots.sst

Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом .

Установка сертификатов из STT фалйла выполняется командой:

updroots.exe roots.sst

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab . Он содержит один файл .

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ().

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -addstore -f disallowed disallowedcert.stl