Как отменить проверку сертификатов в windows 7

Проверка сертификата завершается сбоем, если сертификат имеет несколько доверенных путей сертификации к корневым ЦС

В этой статьи описаны пути обхода проблемы, из-за которой сертификат безопасности, предоставленный веб-сайтом, не выдается при наличии для него нескольких доверенных путей сертификации к корневым ЦС.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Оригинальный номер базы знаний: 2831004

Симптомы

Когда пользователь пытается получить доступ к защищенному веб-сайту, в его браузере появляется следующее предупреждение:

Возникла проблема с сертификатом безопасности этого веб-сайта.

Сертификат безопасности, представленный этим веб-сайтом, не был выпущен доверенным центром сертификации.

Нажав Продолжить открытие этого веб-узла (не рекомендуется), пользователь может перейти к защищенному веб-сайту.

Причина

Эта проблема возникает из-за того, что сертификат веб-сайта имеет на веб-сервере несколько доверенных путей сертификации.

Предположим, что используемый компьютер клиента доверяет Сертификату корневого ЦС (2). Веб-сервер доверяет Сертификату корневого (1) и Сертификату корневого ЦС (2). Кроме того, сертификат имеет следующих два пути сертификации к доверяемым корневым ЦС веб-сервера:

1. Путь сертификации 1: Сертификат веб-сайта — Сертификат промежуточного ЦС — Сертификат корневого ЦС (1)
2. Путь сертификации 2: Сертификат веб-сайта — Сертификат промежуточного ЦС — Перекрестный сертификат корневого ЦС — Сертификат корневого ЦС (2)

Если в процессе проверки сертификата компьютер обнаруживает несколько доверенных путей сертификации, Microsoft CryptoAPI выбирает оптимальный путь сертификации, вычисляя оценку каждого пути. Оценка вычисляется на основе качества и количества данных, которые может предоставить сертификат. Если несколько путей сертификации получают одинаковую оценку, выбирается наиболее короткий путь.

Если у пути сертификации 1 и пути сертификации 2 одинаковая оценка, CryptoAPI выбирает самый короткий путь (путь сертификации 1) и отправляет его клиенту. Тем не менее, компьютер клиента может подтвердить сертификат только используя более длинный путь сертификации, который ведет к сертификату корневого ЦС (2). Это приводит к сбою сертификации.

Обходной путь

Чтобы обойти эту проблему, удалите или отключите из пути сертификации ненужный сертификат, выполнив следующие действия:

1. Авторизуйтесь на веб-сервер от имени системного администратора
2. Добавьте оснастку «Сертификат» в консоль управления Microsoft, выполнив следующие действия:
   1. Выберите Пуск>Выполнить, введите команду mmc и нажмите клавишу ВВОД.
   2. В меню Файл щелкните Добавить или удалить оснастку.
   3. Выберите Сертификаты» нажмите Добавить, выберите Учетная запись компьютера и нажмите Далее.
   4. Выберите Локальный компьютер (компьютер, на котором открыта консоль), и нажмите Готово.
   5. Нажмите кнопку ОК.

   Примечание. Если сертификат является корневым сертификатом ЦС, он находится в Доверенные корневые ЦС. Если сертификат является сертификатом промежуточного ЦС, он находится в разделе Промежуточные ЦС.

   • Для удаления сертификата щелкните его имя правой кнопкой мыши и выберите Удалить.
   • Чтобы отключить сертификат, щелкните его правой кнопкой мыши, выберите Свойства, нажмите Отключить все цели для этого сертификата и выберите ОК.

   Кроме того, если параметр групповой политики Выключить автоматическое обновление корневых сертификатов отключен или не настроен на сервере, сертификат из ненужного пути сертификации может быть установлен или включен при следующем построении цепочки. Чтобы настроить данный параметр групповой политики, выполните следующие действия:

   1. Нажмите Пуск>Выполнить, введите команду gpedit.msc и нажмите клавишу ВВОД.
   2. Разверните область Конфигурация компьютера>Административные шаблоны>Управление>Управление связью через Интернет и нажмите Параметры связи через Интернет.
   3. Дважды щелкните Выключить автоматическое обновление корневых сертификатов, выберите Включено и нажмите кнопку ОК.
   4. Закройте редактор локальных групповых политик.

   Статус

   Такое поведение является особенностью данного продукта.

   Как отменить проверку сертификатов в windows 7

   Сообщения: 5
   Благодарности: 0

   Если кто знает истину то подскажите пожалуйста. Хочу сделать так что бы Windows 10 не лезла в инет каждый раз при запуске *.msi файлов для проверки сертификата издателя. Для этого в инете нашёл твик регистра:

   Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing] "State"=dword:00023e00

   Твик действительно работает и я добился желаемой цели. Но теперь меня беспокоит то что кроме отключения проверки сертификата он мог отключить что-то посерьёзней. Если кто-то разбирается в данной теме не могли бы вы меня успокоить что я не оголил защиту пк перед сетевыми атаками или что-то в этом роде. Данный твик регистра отключает только проверку сертификатов *.msi файлов и всё?

   Сообщения: 52988
   Благодарности: 15376

   Конфигурация компьютера
   Процессор: AMD Ryzen 7 7800X3D
   Материнская плата: Gigabyte B650E Aorus Master
   Память: Kingston Fury Renegade DDR5-6000 32GB (2×16)
   HDD: Samsung SSD 850 PRO 256GB, 980 PRO 1TB
   Видеокарта: Gainward GeForce RTX 3080 追风
   Блок питания: be quiet! Straight Power 11 650W
   Монитор: ASUS VG248QE 24″
   ОС: Windows 10 Pro x64
   Прочее: корпус Fractal Design Define R4

   Georg5, данный твик соответствует отключению параметра Проверять аннулирование сертификатов издателей в настройках IE.

   Данный твик регистра отключает только проверку сертификатов *.msi файлов и всё?

   Любых сертификатов.

   Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

   Сообщения: 5
   Благодарности: 0

   То есть, я правильно понял, затрагивает только *.msi файлы и проверку SSL подключений в IE? Больше ничего?

   Сообщения: 52988
   Благодарности: 15376

   Конфигурация компьютера
   Процессор: AMD Ryzen 7 7800X3D
   Материнская плата: Gigabyte B650E Aorus Master
   Память: Kingston Fury Renegade DDR5-6000 32GB (2×16)
   HDD: Samsung SSD 850 PRO 256GB, 980 PRO 1TB
   Видеокарта: Gainward GeForce RTX 3080 追风
   Блок питания: be quiet! Straight Power 11 650W
   Монитор: ASUS VG248QE 24″
   ОС: Windows 10 Pro x64
   Прочее: корпус Fractal Design Define R4

   Georg5, затрагивает любые сертификаты, не только у *.msi.

   Сообщения: 5
   Благодарности: 0

   Угрозы безопасности значит нет? По сути ничего не изменилось просто теперь не лезет в инет каждый раз и всё. Я прав? Какие файлы запускать, а какие нет я разберусь без вмешательства самой Windows.

   Сообщения: 2798
   Благодарности: 469

   Конфигурация компьютера
   Процессор: i5 2320
   Материнская плата: Asrock H77 Pro4/MVP
   Память: 2x4GB DDR3
   Видеокарта: GTX 960
   Блок питания: Chieftec APS-650C
   Монитор: Dell U2312HM
   ОС: Windows 10 pro

   Цитата Georg5:

   Угрозы безопасности значит нет? »

   В смысле нет? Проверка сертификата на вшивость это дополнительный слой защиты, который ты выключил. Естественно одной дырой в системе стало больше.

   Сообщения: 5
   Благодарности: 0

   Ну это уж с какой стороны смотреть. Как и в случае с проверкой SSL сертификатов в браузерах, OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время. Тоже самое касается уже и *.msi, *.msu и других подобных файлов которым нужна верификация сертификата. Сервера проверки получают данные какие приложения устанавливались и в какое время. Тут уже приходится выбирать между конфиденциальностью и сомнительным способом защиты от подделки файла или его подмены. Я к примеру UAC всегда отключаю и ничего страшного. Лучшая защита компьютера это голова на плечах. Главное что бы не пустая.

   Сообщения: 5380
   Благодарности: 1874

   Конфигурация компьютера
   ОС: OpenSUSE Tumbleweed en-us, Windows 10 Pro x64 en-us

   Цитата Georg5:

   Лучшая защита компьютера это голова на плечах. Главное что бы не пустая »

   1. Certificate Revocation List (CRL)
   2. Disabling the revocation check in production environments isn’t recommended

   Цитата Georg5:

   Я к примеру UAC всегда отключаю и ничего страшного. »

   ——-
   Кто реку перешел, тому росы бояться ни к чему

   Сообщения: 3806
   Благодарности: 824

   Цитата Georg5:

   Сервера проверки получают данные какие приложения устанавливались и в какое время. »

   это преувеличение:
   Обычно одним и тем же сертификатом подписано всё ПО издателя.
   Сертификат проверяется не только при установке.
   механизм OCSP можно вообще выключить.

   Сообщения: 2798
   Благодарности: 469

   Конфигурация компьютера
   Процессор: i5 2320
   Материнская плата: Asrock H77 Pro4/MVP
   Память: 2x4GB DDR3
   Видеокарта: GTX 960
   Блок питания: Chieftec APS-650C
   Монитор: Dell U2312HM
   ОС: Windows 10 pro

   Цитата Georg5:

   OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время »

   А еще этими данными владеют:
   1. очевидно провайдер, и скорее всего его вышестоящий провайдер тоже;
   2. владельцы днс-серверов которые ты используешь;
   3. кулхацкер вася который вскрыл админку твоего роутера либо просто подключился по вайфаю и сниффером смотрит весь трафик;
   4. авторы зловредов, которые с ненулевой вероятностью у тебя есть (да, для того чтобы словить чего-нибудь не обязательно запускать сиськи.exe, есть еще уязвимости в ОС; из недавних — wannacry).
   Ну и еще всякиеразные люди о которых я так сходу не вспомню.
   Такие махинации с отключением функций сродни листочка подорожника поверх перелома — чувство «я что-то сделал» появляется, но эффективность стремится к 0.

   Обходим проверку сертификата SSL

   

   В этом кратком обзоре я хотел бы поделиться своим опытом, как отключить проверку SSL для тестовых сайтов, иначе говоря, как сделать HTTPS сайты доступными для тестирования на локальных машинах.

   В современное время https протокол становится все популярней, у него масса плюсов и достоинств, что хорошо. Правда для разработчиков он может вызывать легкий дискомфорт в процессе тестирования.

   Всем известно, что при посещении сайта у которого “временно” что-то случилось c сертификатом вы обнаружите предупреждение, которое показывается, если сертификат безопасности не является доверенным net::ERR_CERT_AUTHORITY_INVALID?

   Привет онлайн-кинотеатрам

   Все современные браузеры показывают сообщение об ошибке HSTS

   Что такое HSTS

   HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками.

   Самый простой способ обхода данного запрета — это, разумеется, нажатие на вкладку “Дополнительные” и согласиться с Небезопасным режимом.

   

   Но не во всех браузерах как оказывается, есть данная возможность. Так я столкнулся с данной проблемой в Chrome на Mac OS

   Разработчики данной операционной системы настолько обеспокоены безопасностью пользователей, что даже убрали доступ в «Небезопасном режиме» к сайту, несмотря на то, что это сайт владельца устройства.

   Ну что ж, поскольку, вести разработку в других, более сговорчивых браузерах было не комфортно, вот способы как обойти эту проблему:

   — Все хромоподобные браузеры (Chrome, Opera, Edge …) могут открыть небезопасную веб страницу, если на английской раскладке клавиатуры набрать фразу:

   thisisunsafe

   прямо на данной веб странице. Это даст возможность работать с сайтом без оповещение об ошибке на момент текущей сессии браузера, пока вы не закроете вкладку Chrome.

   — Если же вам предстоит более длительная работа с сайтом, то рекомендую для этих нужд создать отдельного тестового пользователя на рабочем столе и указать ему необходимы флаги.

   Для Windows

   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —ignore-certificate-errors

   

   /Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome —ignore-certificate-errors —ignore-urlfetcher-cert-requests &> /dev/null

   Achtung! Данные манипуляции необходимо выполнять с выключенным Chrome приложением, иначе чуда не произойдет.

   Если вы оставите сертификат ненадежным, то некоторые вещи не будут работать. Например, кэширование полностью игнорируется для ненадежных сертификатов.

   Браузер напомнит, что вы находитесь в небезопасном режиме. Поэтому крайне не рекомендуется шастать по злачным сайтам Интернета с такими правами доступами.

   

   *Так же есть метод с добавлением сертификатов тестируемого сайта в конфиги браузера Настройки->Безопасность->Настроить сертификаты->Импорт… но мне он показался не продуктивным и очень муторным, поэтому не привожу

   Надеюсь моя краткая статья кому-то пригодится при разработке и тестировании сайтов =)

   • ssl сертификаты
   • ssl
   • web-разработка
   • безопасность сайтов
   • https
   • тестирование сайтов
   • security
   • google chrome
   • Веб-разработка
   • Google Chrome
   • Браузеры
   • Тестирование веб-сервисов

   Как отключить проверку цифровых подписей драйверов

   

   Если вам требуется установить драйвер, который не имеет цифровой подписи, и вы осознаете все риски такого действия, в этой статье покажу несколько способов отключить проверку цифровых подписей драйверов в Windows 8 (8.1) и Windows 7 (См. также: Как отключить проверку цифровой подписи драйверов в Windows 10). Действия по отключению проверки цифровой подписи вы выполняете на свой страх и риск, делать это не рекомендуется, особенно если вы точно не знаете, что и зачем вы делаете.

   Кратко о рисках установки драйверов без проверенной цифровой подписи: иногда бывает так, что с драйвером все в порядке, цифровая подпись отсутствует в драйвере на диске, который распространяется производителем вместе с оборудованием, но на самом деле угрозы он не представляет. А вот если вы скачали такой драйвер из Интернета, то он, по сути, может делать все что угодно: перехватывать нажатия клавиш и буфер обмена, модифицировать файлы при копировании на флешку или при загрузке их из Интернета, пересылать информацию злоумышленникам — это лишь несколько примеров, на самом деле, возможностей тут очень много.

   Отключение проверки цифровых подписей драйверов в Windows 8.1 и Windows 8

   В Windows 8 есть два способа отключить проверку цифровой подписи в драйвере — первый позволяет отключить ее однократно для установки конкретного драйвера, второй — на все последующее время работы системы.

   Отключение с помощью особых вариантов загрузки

   В первом случае, откройте панель Charms справа, нажмите «Параметры» — «Изменение параметров компьютера». В пункте «Обновление и восстановление» выберите «Восстановление», затем — особые варианты загрузки и нажмите «Перезагрузить сейчас».

   

   После перезагрузки выберите пункт Диагностика, затем — Параметры загрузки и нажмите «Перезагрузка». На появившемся экране вы сможете выбрать (цифровыми клавишами или F1-F9) пункт «Отключить обязательную проверку подписи драйверов». После загрузки операционной системы, вы сможете установить неподписанный драйвер.

   Отключение с помощью редактора локальной групповой политики

   Следующий способ отключить проверку цифровой подписи драйвера — использовать редактор локальной групповой политики Windows 8 и 8.1. Для его запуска нажмите клавиши Win + R на клавиатуре и введите команду gpedit.msc

   

   В редакторе локальной групповой политики откройте Конфигурация пользователя — Административные шаблоны — Система — Установка драйвера. После этого кликните дважды по пункту «Цифровая подпись драйверов устройств».

   

   Выберите пункт «Включено», а в поле «Если Windows обнаруживает файл драйвера без цифровой подписи» выберите пункт «Пропустить». На этом все, можете нажать «Ок» и закрыть редактор локальной групповой политики — проверка отключена.

   Как отключить проверку цифровой подписи драйвера в Windows 7

   В Windows 7 есть два, по сути одинаковых, способа отключения данной проверки, в обоих случаях для начала вам потребуется запустить командную строку от имени Администратора (для этого можно найти ее в меню Пуск, кликнуть правой кнопкой мыши и выбрать пункт «Запуск от имени Администратора».

   После этого в командной строке введите команду bcdedit.exe /set nointegritychecks ON и нажмите Enter (для повторного включения используйте ту же команду, написав вместо ON OFF).

   

   Второй способ — использовать по порядку две команды:

   1. bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS и после сообщения о том, что операция выполнена успешно — вторая команда
   2. bcdedit.exe -set TESTSIGNING ON

   Вот, пожалуй, и все, что вам потребуется для установки драйвера без цифровой подписи в Windows 7 или 8. Напомню, что эта операция не вполне безопасна.

   А вдруг и это будет интересно:

   • Лучшие бесплатные программы для Windows
   • Ноутбук тормозит на зарядке или без неё — причины и варианты решения
   • 403 Forbidden — что это за ошибка и как исправить?
   • Непредвиденная ошибка компонента службы теневого копирования томов — как исправить?
   • Ошибка 0x00000005 в Microsoft Store — как исправить?
   • Как добавить папку в панель навигации Проводника Windows
   • Windows 11
   • Windows 10
   • Android
   • Загрузочная флешка
   • Лечение вирусов
   • Восстановление данных
   • Установка с флешки
   • Настройка роутера
   • Всё про Windows
   • В контакте
   • Одноклассники
   Игорь 18.04.2016 в 12:59

   • Gregory 16.11.2020 в 19:06
   Похожие публикации:

   1. Как замедлить аудиозапись на айфоне
   2. Как поменять формат страницы в эксель
   3. Какой параметр в обработчике события передает объект события которое обрабатывается
   4. Что такое группа в ватсап