Я пытаюсь зайти на сайт https://www.duluthtrading.com/и получаю сообщение об ошибке недоверенного сертификата в Windows 7. Это происходит как в IE, так и в Chrome (поскольку оба используют хранилище сертификатов Windows).
Вот цепочка сертификатов:
- Универсальный корневой центр сертификации VeriSign
- Сервер Symantec класса 3 Secure SHA256 SSL CA(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
- www.duluthtrading.com(6e 70 94 1a e6 39 88 9a 64 fa cb 76 34 af 62 e6 43 83 66 cf)
- Сервер Symantec класса 3 Secure SHA256 SSL CA(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
Проблема в том, что Root CA (VeriSign Universal Root Certification Authority) не является доверенным в этой проблемной системе. Эта машина обновлена через Windows Update.
Я посмотрел на другую виртуальную машину Windows 7 (которая была менее обновлена), и сертификат был там, в разделе «Сторонние корневые центры сертификации». У этой виртуальной машины было меньше сертификатов.
Почему отсутствует этот сертификат CA?
Как я могу починить эту машину?
Обновление: в журнале приложений Windows я вижу следующие ошибки:
Event 4101, CAPI2
Failed auto update retrieval of third-party root certificate from: <http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4.crt> with error: 12007 (0x2ee7).
решение1
Обычно вам не приходится беспокоиться о подобных проблемах.
Когда вам предоставляется сертификат, выданный недоверенным корневым центром, ваш компьютер связывается с веб-сайтом Центра обновления Windows, чтобы узнать, добавила ли Microsoft этот центр сертификации в свой список доверенных центров. 1
ВидетьMicrosoft KB 2328240: «Событие с идентификатором 4107 или событие с идентификатором 11 зарегистрировано в журнале приложений в Windows и в Windows Server»
Причина- Эта ошибка возникает из-за того, что истек срок действия сертификата Microsoft Certificate Trust List Publisher. Копия CTL с просроченным сертификатом подписи существует в папке CryptnetUrlCache.
На этой странице доступна загрузка «Исправить это для меня» или инструкции по ручному устранению проблемы.
После применения обновления и перезагрузки, при следующем посещении сайта, ваш компьютер должен автоматически загрузить сертификат CA. Перезапуск браузера и повторное посещение сайта должны быть успешными.
1 - Это перефразировано из описания, найденного в редакторе групповой политики (gpedit.msc): Административные шаблоны/Система/Параметры связи с Интернетом/Отключить автоматическое обновление корневых сертификатов