Связь и Интернет 

Неизвестный сертификат са. Настройка приема почты TheBat в SSL-соединении

Когда возникает ошибка сертификата безопасности, вы видите сообщение:

  • «Ваше подключение не защищено» .
  • «Сайт угрожает безопасности вашего компьютера» .
  • «Ошибочный сертификат» .
  • «Ошибка в сертификате безопасности» .
  • «Это соединение является недоверенным» .

Ошибки ненадежного соединения или некорректного сертификата безопасности могут возникнуть из-за конфликта между настройками браузера и компьютера. Также ошибки может вызвать работа антивируса. Чтобы понять причину ошибки сертификата, найдите ее код в конце сообщения.

Код ошибки Решение
  • ssl_error_bad_cert_domain
 /
  • err_cert_date_invalid
  • sec_error_expired_certificate
  • err_cert_common_name_invalid
  • err_cert_authority_invalid
  • sec_error_unknown_issuer

MITM . Проверьте ваш компьютер на вирусы с помощью бесплатных антивирусных программ: CureIt! от Dr.Web и Virus Removal Tool от «Лаборатории Касперского» .
Код ошибки Решение
  • ssl_error_bad_cert_domain
 Проверьте, что в адресную строку браузера введен правильный адрес - mail.yandex.ru или passport.yandex.ru , а после ru стоит символ / , а не точка или другой символ.
  • err_cert_date_invalid
  • sec_error_oscp_invalid_signing_cert
  • sec_error_expired_issuer_certificate
  • sec_error_expired_certificate
  • sec_error_ocsp_future_response
 Убедитесь, что на компьютере корректно установлены . Если они настроены неправильно, система ошибочно определяет, что срок сертификата еще не наступил или уже закончился.
  • err_cert_common_name_invalid
  • err_cert_authority_invalid
  • sec_error_unknown_issuer
 Убедитесь, что в настройках вашего антивируса отключена проверка HTTPS-соединений. О том, как это сделать в Kaspersky Internet Security и в ESET NOD32 Smart Security, см. под таблицей.

Если на вашем компьютере нет антивирусной программы, злоумышленники могли подменить сертификат безопасности при помощи вредоносного кода или атаки

Как настроить шифрование почты (S/MIME) в The Bat .
Это продолжение статьи


The Bat поддерживает две технологии защиты информации: PGP и PKI (S/MIME). В этой статье речь пойдет только о технологии PKI (S/MIME).

Подразумевается, что сертификат для шифрования почты уже получен.

Загружаем Bat, открываем настройки шифрования в меню Свойства -> Настройки S/MIME и TLS…
Здесь перед нами встает выбор: использовать внутреннюю реализацию S/MIME или Microsoft CryptoAPI.
При выборе внутренней реализации сертификаты будут находиться в хранилище Bat. Импорт/экспорт сертификатов будет осуществляться через интерфейс Bat. Также для корректной работы потребуется импорт корневых сертификатов и внесение их в список доверенных.
При выборе Microsoft CryptoAPI используется хранилище сертификатов Windows. Импорт/экспорт осуществляется через стандартные процедуры операционной системы. Лично я считаю этот вариант более удобным.
Однако, если вы работаете в Windows XP, и вам нужен максимальный уровень безопасности, в этом случае следует использовать криптопровайдер Bat. Он обеспечивает лучший набор алгоритмов шифрования по сравнению с стандартным Microsoft Enhanced Cryptographic Provider v1.0 (доступны алгоритмы AES 128 и 256-бит). В Vista добавлена встроенная поддержка AES, поэтому данная рекомендация относиться только к XP.

Для начала рассмотрим настройку с помощью Microsoft CryptoAPI (Win XP).

В списке криптопровайдеров выбираем Microsoft Enhanced Cryptographic Provider v1.0 (как обеспечивающий наилучшее шифрование). В списке также присутствует Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), однако, с его помощью зашифровать письмо у меня не получилось (вместо AES 256-бит, письмо зашифровывалось алгоритмом RC2). Использовать это криптопровайдер не рекомендую.
Алгоритм шифрования: 3DES.
Хеш-алгоритм подписи: SHA-1.
Отмечаем опции «Помнить связи e-mail адресов с сертификатами для подписи» и «Помнить связи e-mail адресов с сертификатами для шифрования».


Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат).
Откроется мастер импорта сертификатов. Нажимаем Далее. В следующем окне оставляем выбранной опцию «Автоматически выбрать хранилище на основе типа сертификата» и Далее. Если появится предупреждение об импорте корневого сертификата, нажимаем Да, затем Готово.
Теперь по указанному в сертификате адресу можно отправлять зашифрованные письма.

Настройка шифрования с помощью внутреннего криптопровайдера Bat.


Алгоритм шифрования выбираем: AES (256-бит).
Хеш-алгоритм подписи: SHA-1.

Экспорт сертификата
Открываем Панель управления -> Свойства обозревателя -> вкладка Содержание -> кнопка Сертификаты
Переходим на закладку Личные, выделяем нужный сертификат, нажимаем кнопку Экспорт.
Откроется мастер экспорта сертификатов. Нажимаем Далее. В следующем окне необходимо выбрать опцию «Да, экспортировать закрытый ключ», нажимаем Далее.
Выбор формата файла сертификата. Оставляем значения по умолчанию: файл обмена личной информацией — PKCS#12 (.PFX), опция «Усиленная защита» включена. Нажимаем Далее.
Вводим пароль закрытого ключа. Этот пароль будет запрашиваться каждый раз при доступе к закрытому ключу. Т.е. каждый раз при расшифровке/зашифровке письма (учтите это). Можно ввести пустой пароль, но это сильно понизит уровень безопасности.
Далее выбираем имя и расположение экспортируемого файла. Нажимаем Далее и затем Готово.

Импорт сертификата
Открываем Адресную книгу и создаем контакт для СВОЕГО адреса e-mail. Если включен внутренний криптопровайдер Bat, то в адресной книге будет доступна вкладка Сертификаты. Открываем ее и нажимаем кнопку Импортировать. Выбираем сохраненный сертификат. Появится окно для ввода пароля закрытого ключа:


Вводим пароль. Появится похожее окно, в него опять вводим тот же пароль. После этого в списке сертификатов должен появится новый сертификат.

Теперь двойным щелчком открываем его. Если в сведениях о сертификате будет надпись — «Этот S/MIME сертификат недействителен», в этом случае необходимо добавить корневой сертификат в список доверенных. Для этого открываем вкладку Путь сертификации:


Выделяем корневой сертификат (в примере AAA Certificate Services) и нажимаем кнопку Добавить к доверенным. На вопрос, действительно ли мы хотим это сделать, отвечаем Да.
На этом импорт сертификата завершен.

Импорт сертификата из подписанного письма.
Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат). После этого появится сообщение о количестве импортированных сертификатов (может быть более одного, если импортируются отсутствующие вышестоящие сертификаты). Сертификаты автоматически добавляются к существующим контактам в адресной книге. Если адрес e-mail не был заведен, то соответствующий ему контакт будет создан автоматически. Для некоторых сертификатов может потребоваться процедура добавления корневого сертификата в список доверенных. В этом случае выполняем описанную выше .

Теперь мы готовы к отправке подписанных и/или зашифрованных сообщений.

Зашифровать/подписать письмо можно с помощью соответствующих кнопок на панели инструментов в окне создания письма.
Расшифровка письма/проверка подлинности подписи выполняется с помощью значка в виде письма в правом верхнем углу окна просмотра сообщения.

Странность Bat.
Я так и не нашел где можно узнать с помощью какого алгоритма зашифровано письмо… Непонятно…

Ошибка The Bat! "Неизвестный сертификат CA ":

Сервер не представил корневой сертификат в сессии и соответствующий корневой сертификат не найден в адресной книге.

Это соединение не может быть секретным. Пожалуйста, свяжитесь с администратором Вашего сервера.

Возникает в случае, когда The Bat! не имеет нужного SSL-сертификата при получении почты.

Это может возникать в различных ситуациях и причина в том, что в отличие от большинства программ, использующих Windows-хранилище сертификатов, у The Bat! - своё. И если по каким-то какая-то программа добавит важный сертификат "стандартным" методом (лишь в Windows-хранилище), то The Bat! про это не узнает и ориентируясь на собственное - выдаст ошибку "Неизвестный сертификат СА ".

RootCA.ABD и TheBat.ABD

Самый простой способ попытаться побороть ошибку "Неизвестный сертификат CA " - просто удалить хранилище сертификатов The Bat! , чтобы он при следующей загрузке сделал новое. Файлы "RootCA.ABD " и "TheBat.ABD " находятся в основном каталоге The Bat!, который можно узнать нажав/посмотрев "Свойства - Настройка - Система - Почтовый каталог ".

Приветствие TLS не завершено. Недействительный сертификат сервера (Поставщик цепочки этого S/MIME сертификата не найден)

Первый способ может не помочь и вы получите ту же ошибку "Неизвестный сертификат СА ", а в журнале работы почтового ящика будет что-то типа:

>22.03.2013, 13:39:53: FETCH - Свойства сертификата: 16B0A68A00000000D49E, алгоритм: RSA (2048 бит), Действителен с: 21.12.2012 16:05:32, по: 17.01.2014 15:15:46, на хосты в кол-ве 17 шт.: Yandex Mail Service, pop.yandex.ru, pop.yandex.com, pop.yandex.by, pop.yandex.kz, pop.yandex.ua, pop.yandex.com.tr, pop.narod.ru, pop.ya.ru, pop3.yandex.ru, pop3.yandex.com, pop3.yandex.by, pop3.yandex.kz, pop3.yandex.ua, pop3.yandex.com.tr, pop3.narod.ru, pop3.ya.ru.
>22.03.2013, 13:39:53: FETCH - Владелец: RU, Russia, Moscow, Yandex, ITO, Yandex Mail Service, Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .
>22.03.2013, 13:39:53: FETCH - Поставщик: generated by avast! antivirus for SSL scanning, avast! Mail Scanner, avast! Mail Scanner Root.
!22.03.2013, 13:39:53: FETCH - Приветствие TLS не завершено. Недействительный сертификат сервера (Поставщик цепочки этого S/MIME сертификата не найден).

Главное здесь для нас:

Поставщик: generated by avast! antivirus for SSL scanning, avast! Mail Scanner, avast! Mail Scanner Root .

В частности, такая проблема, когда "поставщик сертификата неизвестен" (в нашем случае - "avast! Mail Scanner Root ") получается у тех, кто использует Avast версий 8 и новее, где он научился проверять почту на SSL-шифрованных соединениях, а The Bat! про это (и про Avast ) не в курсе.

Для исправления нужно добавить сертификат издателя (issuer) "avast! Mail Scanner Root " в доверенные корневые сертификаты The Bat!, т.к. сам Аваст его добавил в доверенные(trusted) лишь в Windows-хранилище сертификатов, а, как писалось выше, у The Bat! оно своё. Для этого выполняем команду "certmgr.msc", находим и экспортируем "avast! Mail Scanner Root " из "Доверенные корневые центры сертификации", либо просто берём тут ниже прикреплённый файл (это и есть сертификат Аваст).

После импортируем этот сертификат в нужный ящик. Для этого придётся выполнить длинную и неочевидную последовательность действий (привет взебатописателям!):

1. Добавить сам сертификат: Ящик - Свойства почтового ящика - Общие сведения - Сертификаты - Импортировать - выбираем нужный сертификат (например, avast!MailScannerRoot.cer )

2. Добавить добавленный сертификат в доверенные (см. картинку): Просмотреть - Путь сертификации - Добавить к доверенным

После этого ошибка "Неизвестный сертификат CA " точно исчезнет. Не навсегда - до следующего обновления Windows, The Bat! , антивируса или ещё чего-нибудь...




Настройка приема почты TheBat в SSL-соединении

1. Скачиваем и сохраняем локально (т.е. на своем компьютере в какой-либо папке).



2. Идем: ящик -> свойства почтового ящика ->общие сведения -> сертификаты


3. -> импортировать.


4. Выбираем сохраненный файл сертификата cacert.pem. Открыть.





5. Кликаем мышью по появившейся строке "Kinetics Certificate Authority", далее кликаем "Просмотреть".



6. Видим "Этот сертификат недействителен". Кликаем "Путь сертификации".



7. Кликаем мышью по "Kinetics Certificate Authority" и "Добавить к доверенным".


6. Да.



7. Для самопроверки: сертификат должен быть действительным. OK. OK. OK.



8. Для самопроверки: в адресной книге в папке Trusted Root CA должна появиться запись "Kinetics Certificate Authority".


9. Выбираем: ящик -> свойства почтового ящика -> транспорт -> соединение
-> безопасное на спец. порт (в окне “Порт” должно появиться 995).
Теперь - все. После чего SSL - соединение будет работать.

Внимание! В поле почт. сервера должно стоять значение ns..85.127.69),
иначе при заказанном SSL-соединении почтовый клиент вообще не соединится с сервером.

При соединении с сервером в журнале работы почтового ящика будете видеть подобные записи:
date, time: FETCH - Получение новой почты
date, time: FETCH - Начинаю приветствие TLS
date, time: FETCH - Свойства сертификата: 02, алгоритм: RSA (1024 бит), Действителен с: 27.11.2012 9:40:26, по: 22.11.2032 9:40:26, на хосты в кол-ве 1 шт.: ns.сайт.
date, time: FETCH - Владелец: RU, Novosibirsk, Institute of Chemical Kinetics and Combustion, IT-group, ns..nsc.ru.
date, time: FETCH - Root: RU, Novosibirsk, Novosibirsk, Institute of Chemical Kinetics and Combustion, IT-group, Kinetics Certificate Authority, nina@сайт
date, time: FETCH - Приветствие TLS завершено
date, time: FETCH - Соединение с POP3 сервером прошло удачно
date, time: FETCH - Аутентификация прошла успешно (Обычный метод)

Для справки: Kinetics Certificate Authority - агенство по выписке SSL-сертификатов, созданное в ИХКГ СО РАН.

Для IMAP- протокола все аналогично.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить