Jump to content
Sign in to follow this  
zulik_

Problem z certyfikatami (certyfikat główny)? "Połączenie nie jest prywatne"

Recommended Posts

Cześć!

 

Wczoraj ni z tego z owego przy próbie wejścia do internetu na chrome wyskoczył mi taki o to komunikat:

 

Połączenie nie jest prywatne

Hakerzy mogą próbować wykraść Twoje dane z www.google.com (np. hasła, wiadomości lub informacje o karcie kredytowej).

 

NET::ERR_CERT_AUTHORITY_INVALID

 

Próbowałem więszkości internetowych sposbów: sprawdzenie daty, czyszczenie chroma, reset ustawień i jego reinstall, wirusy + adware, wyłączenie ochrony antyvirusa i jego odinstalowanie, ściągnięcie wszystkich update'ów win7. Powoli się poddaję. Wszystko działa ok tylko na firefoxie który ma zdaje się swoją bazę certyfikatów. IE i chrome które korzystają z bazy windowsa blokują praktycznie wszystko. Zarówno normalnie jaki i w trybie incognito.

 

Co można zrobić z tym certyfikatami? Da się je jakoś ręcznie "naprostować"? Czy może problem leży jeszcze gdzie indziej? Byłbym wdzięczny za wszelkie sugestie.

 

pzdr!

 

edit: dołączam jeszcze log z combofixa

post-142649-0-03922900-1499098328_thumb.jpg

log_03_07_2017.txt

Edited by zulik_

Share this post


Link to post
Share on other sites

Strzelam, że albo jakiś robal, albo antywirus wstawia Ci swój własny certyfikat SSL do każdego szyfrowanego połączenia i stąd te komunikaty. Na szybkiego to bym najpierw sprawdził, kto jest wystawcą certyfikatu dla google.pl który nie podoba się Chrome, jeżeli będzie cokolwiek innego niż rzeczywisty certyfikat Google to mamy chyba winnego.

Jak podejrzeć certyfikat w Chrome -> https://kryptosfera.pl/post/jak-podejrzec-certyfikat-ssl-w-chrome/

Share this post


Link to post
Share on other sites

Nie było wczoraj czasu posprawdzać Wasze propozycje, siądę dziś po robocie i dam zedytuję post co i jak. Dzięki za odzew!

 

edit:

 

po kolei:

 

Z tego co teraz widzę - na przykładzie forum ppc - strona działa póki nie spróbuję się zalogować. Po zalogowaniu występuje błąd certyfikatu. Analogicznie jest np z google.

 

Przykładowo - wystawcą certyfkiatu ppc jest Let's Encrypt Authority X3 (na print screenach wszystko widać).

 

Linki do wklej:

http://wklej.org/id/3213965/

http://wklej.org/id/3213970/

 

 

post-142649-0-84458200-1499280510_thumb.jpg

post-142649-0-71444600-1499280522_thumb.jpg

post-142649-0-55355400-1499280619_thumb.jpg

Edited by zulik_

Share this post


Link to post
Share on other sites

Możesz jeszcze sprawdzić, jak wygląda ścieżka certyfikacji? Czy certyfikaty pośrednie i główne wyglądają normalnie?

Widzę, że w usługach startuje Comodo Internet Security, może on coś miesza?

Share this post


Link to post
Share on other sites

Comodo co ciekawe od kilku/kilkunastu miesięcy już nie mam.

 

Z certyfikatem to nie rozumiem. Sprawdzam ścieżkę i przykładowo microsoft. - Certyfikat główny verisoft jest nie zaufany. A sam certyfikat pokazuje niby jako ok. Ciężko mi powiedzieć czy certyfikat sam w sobie jest ok, bo nie mam porównania jak to wygląda u kogoś kto nie ma problemów.

post-142649-0-80480900-1499327786_thumb.jpg

Share this post


Link to post
Share on other sites

Masz ten błąd, bo ścieżka certyfikacji jest niepełna. Jak widać na jednym ze zrzutów - certyfikat główny (|w tym przypadku Verisign) nie jest obecny w magazynie certyfikatów systemu Windows.

Popatrz na Opcje internetowe/Zawartość/Certyfikaty, zakładka Zaufane główne urzędy certyfikacji (piszę trochę z głowy, bo siedzę teraz na angielskim Windowsie. Albo wywaliło Ci wszystkie urzędy, albo jakąś sporą część, odpowiedzialną za podpisywanie certyfikatów chyba wszystkich głównych witryn.

W Firefoxie działa nadal, bo ta przeglądarka ma swój własny magazyn certyfikatów, niezależny od Windowsowego, z którego to korzystają IE, Edge, Chrome i przeglądarki chromopodobne.

EDIT: https://community.spiceworks.com/topic/584022-missing-or-invalid-root-certificates-on-windows-7-64bit  tutaj też się zmagali z podobnym problemem i pomogła reinstalacja zestawu zaufanych certyfikatów. Zastosuj podany przepis, powinno pomóc.

Edited by katoda
  • Upvote 1

Share this post


Link to post
Share on other sites

Dzięki katoda!

 

Zaciąłem się na tym sposobie podanym w podanym przez Ciebie poście ;) Moja znajomość wiersza poleceń skończyła się w czasach Win98 i coś mi tu nie gra.

 

Ściągnąłem ten program rootsupd. Wrzuciłem go do folderu użytkownia na c:, jak tak mi startuje wiesz poleceń po odpaleniu. Wpisuję "rootsupd.exe /c /t:C:\temp\extroot" i wyskakuje mi command line option syntax error. Co jest nie tak?

Share this post


Link to post
Share on other sites

Hmmm, u mnie działa: odpalam cmd, wklejam komendę skopiowaną żywcem ze strony, wyskakuje mi monit kontroli konta użytkownika, klikam OK i plik ładnie się rozpakowuje do podanego katalogu. Jedynie, gdy katalog c:\temp (czy jakikolwiek inny) nie istnieje, to dostaję komunikat o nieprawidłowym folderze i informację, żeby się upewnić, czy podany katalog istnieje i czy mam prawa zapisu do niego.

Komunikat o błędnej składni polecenia dostałem np. gdy wpisałem komendę z błędem - bez spacji pomiędzu /c i /t

Upewnij się na 100% że plik jest pobrany prawidłowo, czy komendę przepisałeś poprawnie (zawsze możesz przecież zrobić Ctrl-C i potem w oknie wiersza poleceń prawoklik i "Wklej") i czy wszystko jest OK z katalogiem c:\temp - zawsze możesz rozpakować do jakiegokolwiek innego katalogu, bylebyś miał do niego prawa zapisu.

Edited by katoda
  • Upvote 1

Share this post


Link to post
Share on other sites

Aktualizacja KB3004394 do ktorej podalem link na poczatku powinna zaktualizowac certyfikaty. O ile oczywiscie autor ja zainstalowal. 

Share this post


Link to post
Share on other sites

Witajcie po przerwie, żeniłem się w weekend więc byłem chwilę nieosiągalny ;)

 

@kolobos: próbowałem za pierwszym razem jak napisałem o tej aktualizacji. Wyskakuje monit : "Ta aktualizacja nie ma zastosowania do tego komputera".

 

@katoda: rozpakowałem, próbuję wystartować pokolei komendy podane na stronie i zaczynając od pierwszej mam "C:\temp>updroots.exe authroots.sst
Nazwa 'updroots.exe' nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne,program wykonywalny lub plik wsadowy."

 

Kurczę nie wiem co jest nie tak dalej...

Share this post


Link to post
Share on other sites

Jeżeli rozpakowałeś pakiet zgodnie z tym, co pisze w przepisie i w tym wątku, to wszystkie pliki wylądowały w c:\temp\extroots, a Ty próbujesz uruchamiać procedurę siedząc w c:\temp - no nie ma bata żeby ruszyło. Przejdź do katalogu extroots i tam działaj dalej.

Zrobiłem przed chwilą całą procedurę i wszystko przeszło bez żadnych błędów - trzeba tylko koniecznie pamiętać, żeby wiersz polecenia (cmd.exe) uruchamiać z prawami administratora, bez tego ani rusz.

  • Upvote 1

Share this post


Link to post
Share on other sites

No to był dopiero głupi błąd ;) Poszło wszystko, chrome pierwszy raz od tygodnia wystartował i nie rzucił błędem na poziomie google.pl. Większość stron działa, w sumie wszystkie oprócz jednej :D

 

edit:

Trochę dziś potestowałem i sukces jest połowniczny. Strony banku, sklepów internetowych wymagających zalogowania nie działają. Powoli zaczynam się poddawać i zastanawiam się nad przeinstalowaniem Windowsa...

post-142649-0-40073700-1499891977_thumb.jpg

Edited by zulik_

Share this post


Link to post
Share on other sites

Mi też się powoli kończą pomysły jak przywrócić certyfikaty do stanu normalności.

Moim zdaniem sytuacja wygląda tak:

1. Sądząc po datach plików w rootsupd.exe, znajdują się w nim certyfikaty wydane do 2013 r. Wszystkie certyfikaty wydane po tej dacie Windows pobiera z serwerów M$ sam, korzystając ze swoich wewnętrznych mechanizmów.

2. na 100% wszystkie strony, z którymi masz problemy, używają certyfikatów wystawionych po 2013, co łatwo można podejrzeć w sposób z postu #2.

 

Pytanie: jak teraz wymusić na Windows ściągnięcie poprawki, aktualizującej certyfikaty do stanu aktualnego? Może spróbuj wymusić wyszukiwanie uaktualnień w Windows Update?  Może Windows będzie na tyle inteligenty, że zorientuje się, że w magazynie certyfikatów są braki i dociągnie brakujące uaktualnienia.

Share this post


Link to post
Share on other sites

To może być dobry trop z Windows Update. Ostatnio codziennie wyskakuje mi komunikat żeby zrobić restart dla ukończenia aktualizacji Windowsa. Raczej nie jest to jakaś nowa latka tylko wygląda to jakby w kółko próbowało coś doinstalować ale bez skutku. Może jakimś zewnętrznym programem to wymusić?

Share this post


Link to post
Share on other sites

Najpierw w cmd możesz (dla pewności że nie poleciały w kosmos jakieś ważne biblioteki systemowe) odpalić sfc/ scannow i sprawdzić loga (instrukcje do znalezienia w necie, nic trudnego). Potem można zatrzymać usługę windows update, usunąć folder windows\SoftwareDistribution i zainstalować System Update Readiness Tool

Potem wgrać ostatnią wersję Windows Update Agent  i KB3020369 oraz kb3172605 (jeśli ich nie masz w systemie) i poszukać aktualizacji. Generalnie prostowanie uwalonego windows update to okrutna mordęga :>...

Edited by Aquarium

Share this post


Link to post
Share on other sites

Dzięki Aquarium! sprawdzę jeszcze ten trop i dam znać za tydz czy podziałało bo od jutra jestem odcięty od komputera.

Share this post


Link to post
Share on other sites

Co do Windows Update to naprawa jest dosc prosta, wystarczy zatrzymac usluge w services.msc (nie wylaczac!), nastepnie zainstalowac aktualizacje podane tutaj: https://superuser.com/questions/951960/windows-7-sp1-windows-update-stuck-checking-for-updates i wszystko powinno dzialac. 

 

 

 

 

Wracajac do certyfikatow autor ma cos zepsute, W7 sam powinien pobierac certyfikaty (przy dzialajacym WU). 

 

Mozna jeszcze sprobowac zainstalowac:

KB2718704 -> https://www.microsoft.com/pl-pl/download/details.aspx?id=29962

KB2813430 -> https://www.microsoft.com/pl-pl/download/details.aspx?id=39115

Share this post


Link to post
Share on other sites

Witam Was po przerwie.

 

Dziś zrobiłem kolejne podejście do tematu:

 

@Kolobos - spróbowałem zarówno sposób z podanego linka jak i instalację dwóch poprawek. Niby dało się zrobić wszystko z tej strony superuser.com, ale efektu brak. Natomiast obie podane przez Ciebie poprawki nie zainstalowały się. Komunikat że nie mają zastosowania.

 

@Aquarium - próbowałem Twój sposób. Po kolei wszystko szło, do momentu poprawek - jedna - nie ma zastosowania, druga - już zainstalowana. Takie komunikaty wyskoczyły. Windows Update pokazał komunikat że ni były jeszcze wyszukiwane aktualizacje na tym komputerze, wystartował z ich wyszukiwaniem i po jakichś 5 min wykraszował się z błędem 80072EE2 :/

 

edit:

WU poszedł za kolejnym razem już bez błędu. Zaktualizowało się wszystko ale bez zmian. Tzn na przykład forum ppc po zalogowaniu nie działa, ale google działa. Wszystkie nie działające strony podpadają pod certyfikat Lets Encrypt. Taką ciekawostkę dodam. Przeinstalowałem sobie właśnie chrome na wersję archiwalną 56 i na niej nawet google się nie odpala i wywala błąd certyfikatu...

Edited by zulik_

Share this post


Link to post
Share on other sites

Odinstaluj Avast i sprawdz czy cos sie zmieni. 

 

Nie wiem czy jest sens zeby w tym grzebac, moze warto przeinstalowac system?

Share this post


Link to post
Share on other sites

Odinstalowałem zaraz jak się pojawił problem ale nie pomogło oczywiście też ;)

 

Starałem się tego uniknąć ale chyba tak jak piszesz trzeba przeinstalować. Zostać przy W7, czy nabyć W10 tym bardziej że widziałem klucze są w niezłej cenie?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

Aktualności

Artykuły



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.