Покупка и установка сертификата не гарантирует безопасное подключение к сайту. На успех HTTPS-соединения влияет не только валидность самого SSL-сертификата, но и настройки сервера, а также правильность установки сертификата.
Например, во время установки SSL-сертификата администратор может забыть загрузить специальный файл «CA bundle» — цепочку сертификатов от Центра сертификации. Этот файл помогает браузерам понять, что сертификату сайта можно доверять. Отсутствие «CA bundle» на сервере приводит к ошибке в браузере.
После выпуска сертификата его может отозвать как владелец, так и Центр сертификации, например, из-за жалоб клиентов сайта на мошенничество. В таком случае текст ошибки будет говорить, что сертификат отозван.
Кроме этого, сервер, на котором установлен SSL-сертификат, может не поддерживать современные алгоритмы шифрования и передачи ключей безопасности. Для того чтобы состоялось безопасное соединение, браузер посетителя и сервер должны поддерживать одинаковые алгоритмы шифрования.
Браузеры по умолчанию умеют выполнять только признанные безопасными алгоритмы. Тогда как на сервере может быть включена поддержка только устаревших алгоритмов, а новые — еще не добавлены. В таком случае браузер и сервер будут пытаться понять друг друга, разговаривая на разных языках, в результате чего посетитель увидит ошибку.
То есть ошибка SSL-сертификата обычно возникает на стороне сайта, поэтому исправлять ее нужно в первую очередь администратору. Никакие действия посетителей сайта чаще всего не исправят ошибку.
Но если вы проверили сайт в SSL Checker и с сертификатом все хорошо, а ошибка по-прежнему возникает, ниже мы привели все способы, которые могут помочь.
👉Читайте также наши статьи:
Как исправить ошибку подключения SSL
Как мы объясняли выше, ошибку SSL-сертификата со стороны пользователя чаще всего исправить не получится. Но иногда невозможность подключения к сайту по HTTPS связана не с сервером и не с сертификатом. Ниже рассказываем о двух основных причинах ошибки со стороны посетителя сайта и о том, как их исправить.
Проверить дату и время
У SSL-сертификата есть две даты: с которой и до которой он действителен. Допустим, это 1.01.2022 — 1.01.2023. Когда браузер получает сертификат сервера, он сверяет числа в сертификате с текущим временем системы. И если время на устройстве сбилось и показывает 2000 или 2024 год, то сертификат будет или еще или уже недействительным. Это можно понять по ошибке «Date Invalid».
В таком случае, нужно поставить правильную дату и время на устройстве.
Ниже перечислен список действий в зависимости от операционной системы.
Windows
- Нажмите правой кнопкой мыши на панель, отображающую время в правом нижнем углу, выберите «Adjust Date/Time».
- Если в открывшемся окне включена опция автоматической установки времени, оно должно быть правильным. Но если хотите устанавливать время вручную, выключите опцию «Set time automatically».
3. После этого появится возможность изменить время: «Set the date and time manually». Нажмите «Change» и выставляйте нужное время.
MacOS
- Нажмите на меню «Apple», выберите «System Preferences» > «Date & Time».
- Кликните на замок в нижнем углу окна, введите пароль администратора.
- Во вкладке «Date & Time» можно включить автоматическую установку времени, или установить вручную.
Android
Чтобы исправить эту же ошибку подключения SSL на андроиде:
- Зайдите в «Settings» > «System & updates».
- Выберите «Date & time».
- Выключите автоматическую установку времени и установите время вручную.
iOS
- Зайдите в «Settings» > «General» > «Date & Time».
- Выключите опцию «Set Automatically», если она включена.
- Поставьте нужное время вручную.
Очистить кэш и куки
Ошибка SSL-соединения может быть связана с тем, что в памяти браузера сохранился старый адрес сайта или старая страница, которую владелец сайта уже починил. Поэтому ошибка подключения SSL на телефоне или компьютере пропадет, если очистить кэш и куки файлов.
Google Chrome
- Нажмите комбинацию клавиш «Ctrl + Shift + Delete».
- В появившемся окне выберите «Cached images and files» и «Cookies and other site data», остальное опционально.
- Кликните на «Clear data».
Firefox
- Нажмите комбинацию клавиш «Ctrl + Shift + Delete».
- В появившемся окне выберите «Cache и Cookies», остальное опционально.
- Кликните на «OK».
Safari
- В браузере выберите «Safari» > «Preferences».
- Нажмите на кнопку «Advanced» и уберите галочку возле «Show Develop menu in menu bar».
- Нажмите на меню «Develop» в панели задач и из выпадающего списка кликните на «Empty Caches».
Игнорировать ошибку
Если время системы правильное, кэш и куки очищены, но браузер продолжает отображать ошибку — проблема все же с самим сертификатом, и со стороны клиента сделать ничего не получится. Можно только игнорировать ее и зайти на сайт. Если ваша цель прочесть статью или посмотреть фотографии, переходить можно, но не игнорируйте такие ошибки на ресурсах, где планируете оставлять персональные или платежные данные.
Google Chrome
Чтобы подключиться к сайту, нажимаем «Advanced», а потом «Proceed to sitename.com (unsafe)».
Firefox
Нажимаем на «Advanced» и «Accept the Risk and Continue».
Safari
Нажимаем «Advanced» и «Proceed to sitename.com (unsafe)».
Android
Нажимаем «Advanced» и «Proceed to sitename.com (unsafe)».
iPhone
Нажимаем на «Show details» и «Proceed to sitename.com site».
📍 Кратко: ошибка подключения SSL, что делать
Для начала проверьте сайт в SSL Checker.
Если ответ выглядит как на скриншоте,
значит, проблема не на стороне сайта, и стоит попробовать эти методы:
- проверить дату и время системы;
- почистить кэш и куки.
Если оповещения «It’s all good. We have not detected any issues» нет, и в отчете SSL Checker-a вы видите красные иконки — с SSL-сертификатом сайта не все в порядке. В этом случае ошибку подключения нужно решать владельцу сайта, но это уже совсем другая история 😉
Если вам понравилась статья, ставьте лайки и подписывайтесь на канал 😉
Переиздание сертификата необходимо, если:
- потерян или скомпрометирован приватный ключ,
- изменено ПО сервера (IIS, Other),
- изменились данные сертификата (например, Organization Unit).
Важная информация о переиздании:
- сертификат переиздается от одного часа до нескольких дней в зависимости от предоставленной информации;
- переиздание сертификата не влияет на дату окончания срока его действия (expired date не изменяется);
- переиздание доступно неограниченное количество раз без дополнительной оплаты;
- во время переиздания в CSR-запросе запрещено изменять имя домена и название организации;
- если все указанные данные будут совпадать, переиздание займет минимум времени.
Переиздание SSL-сертификатов GlobalSign
Эта инструкция подойдет для сертификатов:
- AlphaSSL,
- DomainSSL,
- OrganizationSSL,
- ExtendedSSL.
Чтобы переиздать сертификат:
-
1.
Авторизуйтесь на сайте REG.RU и перейдите в Личный кабинет.
-
2.
Кликните по названию SSL-сертификата:
-
3.
Перейдите во вкладку «Операции» и нажмите Переиздать SSL-сертификат:
-
4.
Во всплывающей шторке справа ознакомьтесь с информацией и нажмите Продолжить:
-
5.
После автоматической генерации CSR-запроса сохраните приватный ключ и запрос на сертификат:
Они понадобятся при установке сертификата. Нажмите Продолжить заказ.
До момента переиздания прежний сертификат остаётся активным.
Переиздание SSL-сертификатов Thawte, GeoTrust и Symantec
Чтобы переиздать сертификаты Thawte, GeoTrust и Symantec, сгенерируйте новый CSR и отправить запрос на переиздание в нужный сертификационный центр.
Генерация CSR (запроса на сертификат)
Сгенерируйте CSR (запрос на сертификат) и Private key (приватный ключ) на этой странице. Для этого выберите нужный «тип сертификата», введите имя домена, «E-mail подтверждения», затем заполните блок «Данные организации или Частного лица» внизу страницы и нажмите Сгенерировать.
Сохраните полученные записи. CSR (запрос на сертификат) понадобится в 7 шаге инструкции, Private key нужен для установки переизданного SSL-сертификата.
Запрос на переиздание в сертификационный центр
После генерации CSR перейдите по ссылке, соответствующей вашему центру сертификации, и отправьте запрос на переиздание сертификата:
- GeoTrust;
- Symantec;
- Thawte.
Ниже приведен пошаговый пример переиздания Thawte-сертификата.
-
1.
Сгенерируйте CSR (запрос на сертификат) и Private key (приватный ключ) на данной странице. Сохраните полученные записи. CSR (запрос на сертификат) понадобится в 7 шаге инструкции, Private key нужен для установки переизданного SSL-сертификата.
-
2.
Перейдите по ссылке. Введите имя домена, для которого был заказан сертификат, и технический или административный email. Введите цифры с картинки и нажмите Continue:
-
3.
Откроется страница с перечислением заказанных сертификатов для вашего домена. Напротив необходимого сертификата нажмите Request Access:
-
4.
На ваш email будет отправлено сообщение с ссылкой на подтверждение переиздания сертификата:
-
5.
Перейдите по ссылке из письма «Thawte»:
-
6.
Перейдя по ссылке из письма, вы окажетесь в Личном кабинете на сайте «Thawte». В колонке слева выберите пункт Reissue Certificate для переиздания сертификата:
-
7.
Далее откроется окно подтверждения переиздания, введите в нем сгенерированный в 1-м шаге инструкции CSR (запрос на сертификат). Нажмите ОК и ожидайте выпуск сертификата в течение одного-двух дней. До момента переиздания прежний сертификат будет активен.
Переиздание остальных SSL-сертификатов
Для переиздания сертификатов от других центров сгенерируйте запрос на сертификат (CSR) и отправьте его в службу поддержки. При этом приватный ключ необходимо оставить себе. Он вам пригодится при установке SSL-сертификата.
Сгенерировать CSR вы можете при помощи инструкции Что такое CSR и как его сделать.
Заметим, что для переиздания SSL-сертификатов от Comodo вам, кроме вышеперечисленных действий, потребуется подтверждение по email на базе доменного имени, который был указан при заказе услуги.
Для возможности использования квалифицированной электронно-цифровой подписи (далее – КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:
-
Сертификат ключа проверки ЭП (далее – СКПЭП).
-
Промежуточный сертификат (далее – ПС).
-
Корневой сертификат (далее – KC).
Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.
Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.
В сертификате содержится недействительная цифровая подпись: разбор ситуации, на примере «Тензор»
О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.
Для того, чтобы узнать о состоянии ключа, следует:
-
Войти в меню «Пуск».
-
Открыть раздел «Все программы» и перейти в «КриптоПро».
-
После этого нужно нажать л.к.м. на «Сертификаты».
-
В строке хранилище, отметить нужное.
-
Кликнуть на выбранный сертификат.
-
Открыть раздел «Путь сертификации».
В строке «Состояние» будет отражён статус неактивного сертификата.
Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».
Сообщение об ошибке может отображаться по следующим причинам:
-
Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).
-
Некорректно инсталлирован криптопровайдер КриптоПро.
-
Алгоритмы шифрования СКЗИ не работают, или работают некорректно.
-
Нет доступа к реестровым документам.
-
Версия браузера устарела.
-
На компьютере выставлены неправильные хронометрические данные.
Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.
Цепочка доверия, от министерства цифрового развития и связи до пользователя
До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, – ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.
Принцип построения ЦДС
Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.
КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.
Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:
-
Данные об УЦ и срок действия ключа.
-
Электронный адрес для связи с реестром организации.
Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.
В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.
СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.
СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.
КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.
Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.
Пути решения ошибки
Для начала необходимо убедиться в том, что КС активен и верно инсталлирован. Для этого применяется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В появившемся перечне должен находиться файл от ПАК «Минкомсвязь России». Если сертификата нет, или он не активен, требуется его инсталлировать:
-
Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».
-
Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».
-
Укажите хранилище «Доверенные корневые центры сертификации».
-
Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.
После инсталляции сертификата, перезагрузите ПК.
Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.
Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).
Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.
На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:
Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.
Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.
Исправление ошибки, на примере казначейства
Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.
Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).
Изменение или повреждение файла УФК
Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.
В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:
-
Зайти в раздел «Личное».
-
Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.
-
Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.
-
Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.
-
После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до …».
-
На сайте УФК войти во вкладку «Корневые сертификаты».
-
Загрузить «Сертификат УЦ Федерального казначейства».
-
Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».
-
Выключите и включите ПК.
На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.
Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.
Истечение срока
Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.
Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.
Ошибка с отображением в КриптоПро
Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.
В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.
Неправильная работа КриптоПро
Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:
Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.
Сервисы инициализации
СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.
Для того, чтобы проверить активность службы:
-
Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.
-
После чего вбейте в командной строке services.msc.
-
В перечне служб, укажите «Службы инициализации».
-
Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.
Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.
Что делать, если ошибка вызвана сбоем браузера
Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.
Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.
Вход под администраторскими правами
Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.
Что нужно сделать:
-
Правой кнопкой мыши нажмите на значок браузера.
-
Выберите строку «Запуск от имени администратора».
После того, как ошибка исчезнет:
-
Правой кнопкой мыши нажмите на значок браузера.
-
Кликните на «Дополнительно»
-
И выберите «Запуск от имени администратора».
Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.
Выключение антивирусника
Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:
-
Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».
-
После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.
Когда электронный документ будет подписан, активируйте антивирусную программу обратно.
Настройка хронометрических данных
Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:
-
Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.
-
Выберите «Настройка даты и времени».
-
Выставьте нужный часовой пояс и правильные значения.
-
Сохраните изменения.
По окончанию настроек выключите, а потом включите ваш ПК.
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования
- Как исправить ошибку в сертификате?
Дополнено 22.04.2019
Про дубликат
Ошибки, неточности и опечатки встречаются во всех документах: дезинформация, неисправность машины, обычная человеческая невнимательность — никто от этого не застрахован. Как вносятся изменения и исправления в сертификат или декларацию о соответствии?
Ситуация осложняется тем, что, в соответствии с действующим российским законодательством сертификат (как сертификат ТР ТС, так и сертификат ГОСТ Р) и декларация — это те документы, исправления в которых недопустимы и запрещены. Это значит, что в самом выпущенном бланке сертификата или декларации уже ничего не изменить. Связано это с тем, что каждый подобный документ печатается на специальном бланке, регистрируется, каждый выдается под строгую отчетность, и для исключения его подделки вводится несколько степеней защиты. В частности, если ошибка была допущена по вине эксперта по сертификации, ему может быть выписан административный штраф
Все запреты на исправления в декларациях и сертификатах регламентированы следующими нормативными документами:
- Решение Коллегии ЕЭК № 293 «О единых формах сертификата соответствия и декларации о соответствии техническим регламентам Таможенного союза и правилах их оформления» от 25.12.2012 года, пункт № 8 (для сертификатов и деклараций соответствия ТР ТС);
- Постановление Госстандарта № 12 «Об утверждении правил по сертификации «Система сертификации ГОСТ Р. Формы основных документов, применяемых в системе» от 17.03.1998 года (для сертификатов соответствия ГОСТ Р);
- Приказ Министерства промышленности и энергетики № 53 «Об утверждении формы сертификата соответствия продукции требованиям технических регламентов» от 22.03.2006 (для сертификатов соответствия национальным техническим регламентам).
В связи с такими строгими правилами любая ошибка, допущенная в бланке сертификата, может стать критичной.
Как исправить ошибку в сертификате?
Исправление незначительных ошибок в сертификате или декларации соответствия допускается посредством специального приложения — разъяснительного письма, выпускаемого следом за сертификатом по желанию заявителя в том же органе по сертификации, где был оформлен сам сертификат. В письме содержится информация о том, какие ошибки были допущены в бланке, что именно является недостоверными сведениями, а также указываются верные данные.
Однако такое письмо имеет смысл оформлять только в случае обнаружение некритических опечаток или орфографических ошибок. При более серьезных фактических ошибках — например, если неверно указан размер партии или в перечне товаров пропущено какое-либо наименование — сертификат необходимо переоформлять.
При обнаружении фактических ошибок в бланке сертификата необходимо немедленно обратиться в орган по сертификации, поскольку такие недочеты могут попросту сделать невозможным выпуск продукции на рынок или стать препятствием при провозе товара через границу. Заявитель направляет оформленную в произвольной форме заявку в центр по сертификации для перевыпуска бланка. Такая же процедура необходима и при утере сертификата.
Старый бланк сертификата в этом случае аннулируется, и его номер из единого государственного реестра удаляется. Новому сертификату присваивается новый регистрационный номер.
Исключение может быть сделано для сертификатов продукции, для подтверждения соответствия которой необходим периодический контроль — как правило, ежегодный. В этом случае аннулирование сертификата может быть сделано не сразу, а после прохождения очередного контроля. Однако каждый такой случай рекомендовано рассматривать отдельно.
В случае потери или порчи сертификата, возможно получить дубликат. Обратите внимание, что дубликат возможно получить только в том сертифицированном органе, в котором документ и получали. Продлению дубликат не подлежит. В дальнейшем будет необходимо получать новый документ.
Следует помнить, что перевыпуск сертификата или декларации — сложное и ответственное мероприятие, с которым нельзя затягивать. Эксперты Attek group помогут Вам с переоформлением сертификата и присвоением ему нового номера.
Чтобы воспользоваться квалифицированной электронно-цифровой подписью (далее — КЭЦП, КЭП, ЭЦП), криптопровайдер должен признать сертификат пользователя доверенным, то есть надежным. Это возможно, если правильно выстроена цепочка доверия сертификации, которая состоит из трех звеньев:
- сертификат ключа проверки электронной подписи (далее — СЭП, СКПЭП, СКЭП);
- промежуточный сертификат (ПС) удостоверяющего центра;
- корневой сертификат (КС) от головного центра, то есть от Минкомсвязи.
Искажение хотя бы одного файла приводит к недействительности сертификата, и он не может быть использован для визирования документации. Среди других причин сбоя выделяют неправильную работу криптопровайдера (средства криптозащиты или СКЗИ), несовместимость с браузером и др.
Почему возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать для решения этой проблемы, рассмотрим детально.
Настроим вашу электронную подпись под ключ за 30 минут!
Оставьте заявку и получите консультацию в течение 5 минут.
Этот сертификат содержит недействительную цифровую подпись : на примере « Тензор»
О содержании недействительной цифровой подписи в сертификате пользователь узнает при попытке подписать документы с помощью КЭЦП. В этом случае на экране появляется сообщение: «При проверке отношений доверия произошла системная ошибка» или «Не удается построить цепочку доверия для доверенного корневого центра». Чтобы увидеть состояние ключа, необходимо:
- Открыть меню «Пуск».
- Перейти во вкладку «Все программы» → «КриптоПро».
- Кликнуть на кнопку «Сертификаты».
- Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
- Нажать на выбранный сертификат.
- Перейти во вкладку «Путь сертификации».
В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:
При корректно настроенном пути сертификации состояние было бы таким:
В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».
Системное оповещение о сбое может возникать по ряду причин:
- нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
- неправильно установлен криптопровайдер КриптоПро;
- неактивны алгоритмы шифрования СКЗИ;
- заблокирован доступ к файлам из реестра;
- старые версии браузеров;
- на ПК установлены неактуальные дата и время и т. д.
Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.
Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от Минкомсвязи до пользователя
Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.
Как строится путь доверия
Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи.
КС предоставляется клиенту поставщиком при выдаче КЭП, также его можно скачать на сайте roskazna.ru или самого УЦ. В цепочке доверия он играет первостепенную роль — подтверждает, что КЭЦП была выпущена УЦ, аккредитованным Минкомсвязи.
Следующее звено — КС удостоверяющего центра (промежуточный). Файл выдается в комплекте с ключами и содержит в себе:
- сведения об УЦ с указанием даты его действия;
- сервисный интернет-адрес (через который можно связаться с реестром компании).
Эти данные предоставляются в зашифрованном виде и используются криптопровайдером (на ПК пользователя) для проверки подлинности открытого ключа КЭЦП. Теоретически цифровую подпись можно украсть, но применить ее без установленного сертификата УЦ не получится. То есть вся ЦДС построена таким образом, чтобы предотвратить риски использования чужой подписи мошенниками.
СКПЭП — конечное звено в этой цепи. Его выдает удостоверяющий центр вместе с открытым и закрытым ключами. Сертификат предоставляется на бумажном или цифровом носителе и содержит основную информацию о держателе. Он связывает последовательность символов открытого ключа с конкретным лицом. Другими словами, СКПЭП подтверждает тот факт, что открытый ключ ЭП принадлежит определенному человеку.
Головной КС Минкомсвязи действует до 2036 года, а ПС удостоверяющих центров ликвидны в течение 12 месяцев, после чего необходимо скачать (или получить в УЦ) новый и переустановить его на свой ПК. Сертификат КЭЦП тоже действует не более 1 года, по истечении этого срока клиенту требуется получить новый.
Если возникает ошибка «Этот сертификат содержит недействительную цифровую подпись» , причина может быть в повреждении ЦДС от Минкомсвязи России до пользователя. То есть один из элементов в этой цепи искажен или изменен.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Как решить проблему
В первую очередь стоит удостовериться, что КС корректно установлен и действителен. Для этого используется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В открывшемся списке должен быть документ от ПАК «Минкомсвязь России». Если сертификат отсутствует или он недействителен, его нужно установить, следуя алгоритму:
- Открыть загруженный файл на ПК.
- Во вкладке «Общие» кликнуть «Установить».
- Поставить флажок напротив строчки «Поместить в следующее хранилище».
- Выбрать хранилище «Доверенные корневые центры сертификации».
- Продолжить установку кнопкой «ОК» и подтвердить согласие в окне «Предупреждение о безопасности».
После установки появится сообщение, что импорт успешно завершен. Далее рекомендуется перезагрузить компьютер.
Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.
Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.
На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:
Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.
Важно! Удаление и редактирование ключей реестра может нарушить работоспособность системы, поэтому процедуру лучше доверить техническому специалисту.
Выпустим и настроим электронную подпись для сотрудника прямо в день обращения!
Оставьте заявку и получите консультацию.
Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства
Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.
Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла УФК
Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.
Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:
- Перейти в папку «Личное».
- Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
- Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
- Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
- Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».
Если причина именно в этом звене, на вкладке «Общие» отобразятся сведения: «Этот сертификат не удалось проверить, проследив его до …». Значит на этом участке обрывается путь.
- Зайти в раздел «Корневые сертификаты» на веб-ресурсе УФК.
- Скачать файл «Сертификат УЦ Федерального казначейства ГОСТ Р 34.10-2012».
- Импортировать файл на ПК. Процесс импорта аналогичен описанной выше процедуре для головного центра, только в качестве хранилища необходимо выбрать «Промежуточные центры сертификации».
- Перезагрузить компьютер.
На завершающем этапе необходимо перейти в папку «Личное», выбрать нужный СЭП и проверить путь сертификации. Если проблема с промежуточным звеном решена, в графе состояния будет стоять «Этот сертификат действителен». Это означает, что система проверила ЦДС для этого ключа и не выявила никаких ошибок.
Истечение срока
При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа. Процедура установки аналогична рассмотренной ранее. Предыдущий ПС удалять необязательно, система все равно будет отмечать его как недействительный.
Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.
Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в КриптоПро
При такой ошибке одни ресурсы отклоняют СЭП, а другие без проблем взаимодействуют с ним. Возможно, во втором случае информационный ресурс, на котором пользователь подписывает документ, не проверяет путь до головного УЦ. Устранение проблемы в подобном случае осложняется тем, что весь путь доверия построен без нарушений, а ключ значится как действительный. Можно предположить, что сбой связан с криптопровайдером или браузером.
Некорректная работа КриптоПро
Для проверки необходимо открыть КриптоПро CSP и перейти во вкладку «Алгоритмы». Если параметры алгоритмов пустые, значит софт функционирует некорректно, и его требуется переустановить:
Для переустановки нужно специальное ПО — утилита очистки следов КриптоПро, которую можно скачать на сайте разработчика. Она предназначена для аварийного удаления криптопровайдера. Такой способ позволяет полностью очистить ПК от следов CryptoPro и выполнить корректную переустановку.
Службы инициализации
СЭП может отражаться как недействительный, если не запущена служба инициализации КриптоПро CSP. Это можно проверить следующим образом:
- Запустить системное окно «Выполнить» комбинацией клавиш Win+R.
- Ввести команду services.msc.
- В списке служб выбрать «Службы инициализации».
- Кликнуть правой кнопкой мыши (ПКМ) и выбрать пункт «Свойства».
- Если по каким-то причинам служба отключена, активировать ее и сохранить изменения.
Если все выполнено верно, после перезагрузки компьютера КЭЦП снова будет работать корректно.
Права доступа к реестру
Сбой возможен при отсутствии прав на некоторые файлы в реестре Windows. Для проверки необходимо открыть строку ввода комбинацией Win+R, ввести команду regedit, нажать Enter и перейти по пути для настройки прав в реестре Windows:
У пользователя должны быть права на конечные папки этих веток. Проверить это можно следующим образом:
- Выбрать папку правой кнопкой мыши и нажать на пункт «Разрешения».
- Кликнуть по кнопке «Администраторы» → «Дополнительно».
- Открыть страницу «Владелец».
- Указать значение «Полный доступ».
Эта же проблема решается переустановкой криптопровайдера с помощью описанной выше утилиты для очистки следов.
После обновления Windows до более поздней версии пользователь может видеть уведомление «При проверке отношений доверия произошла системная ошибка». Это тоже связано с недействительностью КЭЦП и нарушением внутренних файлов КриптоПро. Переустановка СКЗИ поможет решить эту проблему.
Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером
Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).
Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.
Вход под ролью администратора
Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:
- Кликнуть ПКМ по иконке браузера.
- Выбрать пункт «Запуск от имени администратора».
Если ошибка устранена, рекомендуется:
- Снова выбрать ярлык браузера.
- Нажать кнопку «Дополнительно».
- Выбрать «Запуск от имени администратора».
Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.
Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.
Отключение антивирусной программы
Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:
- Кликнуть ПКМ на иконку «антивирусника».
- Нажать «Сетевые экраны» или «Управление экранами».
- Выбрать время, на которое планируется отключить утилиту.
После заверки документов снова запустите программу.
Настройка даты и времени
Также следует проверить актуальность даты ПК. Для этого необходимо:
- Навести мышкой на часы внизу экрана.
- Выбрать «Настройка даты и времени».
- Указать свой часовой пояс, выставить правильные значения и сохранить обновление.
После всех действий рекомендуется перезагрузить компьютер.
Подберем USB-носитель для ЭП. Доставка — в любую точку России!
Оставьте заявку и получите консультацию в течение 5 минут.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог