none
Проблемы с отображением некоторых сайтов через https. RRS feed

  • Вопрос

  • Имеется IE11 на Win 7. При попытке оплаты в интернет-магазине идёт переход на сайт _ttps://payments177.paysecure.ru/pay/order.cfm где и появляется надпись  "Не удаётся отобразить эту страницу. "

    Смущает так же отсутствие показа сертификата сайта.

    В журнале Просмотр событий после захода на эту страницу появляется запись:

    Событие 36687, Schannel

    Получено следующее предупреждение о неустранимой ошибке: 40.

    Другие сайты через https работают нормально, так же как другие браузеры (Opera12.16 Comodo Dragon с этим сайтом работают правильно). Запуск IE без надстроек, а так же сброс всех настроек IE на исходные ничего не меняет.

    Такое ощущение, что либо нарушена работа сабжа с некоторыми сертификатами, либо с SSL или TLS.
    Тему  _ttp://social.technet.microsoft.com/Forums/ru-RU/b6bd4917-4093-4f4f-b209-49961c74ea8b/-https?forum=ieru   прочитал,  но ничего полезного для себя там не нашёл.

    P.S. Да кто же такой криворукий этот сайт сделал, что даже в родном IE11 не могу нормально написать и вставить текст и изображения?





    • Изменено Oleg Divov 24 декабря 2013 г. 14:51
    24 декабря 2013 г. 14:44

Ответы

Все ответы

  • По Вашему P.S.,  внимательно читаем

    Смущает и данная Вами ссылка, ответ Internet Explorer:


    Да, я Жук, три пары лапок и фасеточные глаза :))


    25 декабря 2013 г. 23:12
    Модератор
  • По Вашему P.S.,  (на этом месте должна быть ссылка, но мне не дают её использовать)

    Вот только это моё не первое сообщение на форуме, чтобы ограничивать меня в ссылках и изображениях. И да, корявее сайта я ещё не встречал. Вот например при попытке вставить скопированную из блокнота фразу, часть предыдущего ответа пропала, вставка так же вышла не полной. И это на IE11, так сказать флагманском продукте.

    Смущает и данная Вами ссылка Internet Explorer: ( на этом месте должна быть ссылка из вашего сообщения, но мне не разрешают её использовать)

    (На этом месте должен быть рисунок из вашего ответа, но мне не дают его использовать, нормально?)

    Всё дело в том, что в самом конце ссылки присутствует ещё и в буквенно-цифровой форме номер транзакции, которые я привести не мог, поэтому такой и ответ сервера. Но даже в таком виде другие браузеры работают с этим сайтом, принимают его сертификат, а IE11 - нет, как впрочем и с нормальной ссылкой, поэтому в данном случае я им и не пользуюсь.

    P.S. Журнальчик то посмотрите на время проверки этой ссылки.



    26 декабря 2013 г. 6:55
  • Вы действительно читали статью, ссылку на которую Вам дал?

    Там довольно таки понятным языком написано, что необходимо сделать, что бы можно было вставлять как ссылки, так и скриншоты. В этой же статье, приведена ссылка, где и как можно ускорить верификацию аккаунта.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    26 декабря 2013 г. 13:40
    Модератор
  • Вы действительно читали статью, ссылку на которую Вам дал?

    Действительно, правда не очень внимательно.

    А по сути моего вопроса - как?

    26 декабря 2013 г. 13:48
  • А по сути, некоторые сертификаты (подписанные с использованием алгоритмов, признанных слабыми) MS признаны настолько небезопасными, что спрашивать о чём-то пользователя (с показом сертификата) не считается нужным. "Не удаётся отобразить страницу", и всё, "всем спасибо, все свободны".

    Как лечить - никак. Ну, точнее, можно взять Win7 без SP1 (и IE8, никаких IE11, конечно же) - этот вариант покажет сертификат, и далее. Или другие браузеры. На свой страх и риск, поскольку действительно небезопасно. Особенно касательно денег.


    S.A.

    26 декабря 2013 г. 16:02
  • А по сути, некоторые сертификаты (подписанные с использованием алгоритмов, признанных слабыми) MS признаны настолько небезопасными, что спрашивать о чём-то пользователя (с показом сертификата) не считается нужным. "Не удаётся отобразить страницу", и всё, "всем спасибо, все свободны".


    S.A.

    А что там такого небезопасноого? Вроде протокол шифрования TLS v1.0 128 bit ARC4 (2048 bit RSA/SHA) не считается слабым.


    • Изменено Oleg Divov 27 декабря 2013 г. 9:35
    27 декабря 2013 г. 9:35
  • Я не берусь решать что считается небезопасным, а что нет. Но то, что начиная с SP1 под Win7, пользователю более не предлагается принять решение по использованию сертификатов, считаемых MS небезопасными, а лишь выводится сообщение о невозможности отобразить страницу, когда-то выяснил по невозможности дальнейшего использования корпоративной PKI, с созданным в 2000 году корневым СА. Пришлось перевыпускать корневой сертификат с новыми ключами и изменением алгоритма подписи.

    Никаких настроек такого поведения найти не удалось, впечатление, что "решение" принимается на уровне кода.


    S.A.

    27 декабря 2013 г. 10:58
  • я если честно вообще не понял суть вопроса, открыл в ie11 вашу ссылку https, добросовестно отрылась надпись магазин не зарегистрирован, сертификат успешно отображает, с ним все нормально.

     


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    27 декабря 2013 г. 11:10
  • я если честно вообще не понял суть вопроса, открыл в ie11 вашу ссылку https, добросовестно отрылась надпись магазин не зарегистрирован, сертификат успешно отображает, с ним все нормально.


    Так вопрос как раз в том, почему этого у меня нет. Я рад за Вас, что у Вас отображается правильно, теперь я хочу, что бы и у меня было так же. Для того и задал этот вопрос. 

    Вопрос №2. Каким образом можно обновить установленные у меня сертификаты?

    • Изменено Oleg Divov 27 декабря 2013 г. 11:21
    27 декабря 2013 г. 11:19
  • ну тут вам вопрос. что вы делали с ie11? с настройками игрались? сброс делали? только не запуск без настроек, а именно сброс. если что я настраиваю ie чтобы правильно работал, будем делиться скринами тогда.

    Вопрос №2. Каким образом можно обновить установленные у меня сертификаты? не понял вопроса, какие сертификаты, и где у вас? локальная машина или AD?


    Идти туда, где не ждут, Атаковать там, где не подготовились.


    27 декабря 2013 г. 11:31
  • Как я выше уже указывал, делал сброс  настроек IE, кнопочкой сброс, как на картинке. 

    _ttp://hostingkartinok.com/show-image.php?id=4f0549460064295929904b387467f214

    По поводу сертификатов. Имеется ввиду сертификаты на локальной машине, те которые можно увидеть через 

    certmgr.msc. Есть такое мнение, что отсутствует какой-нибудь из корневых или промежуточных центров сертификации.

    27 декабря 2013 г. 13:16
  • Проверьте наличие, в необходимом случае доустановите, в Корневые доверенные - корневого сертификата thawte, в Промежуточные центры сертификации - Thawte SSL CA, Другие пользователи - сертификат интернет магазина - *.paysecure.ru

    Да, я Жук, три пары лапок и фасеточные глаза :))


    • Изменено ЖукMVP, Moderator 27 декабря 2013 г. 13:56 дополнение
    • Помечено в качестве ответа Oleg Divov 27 декабря 2013 г. 14:18
    • Снята пометка об ответе Oleg Divov 27 декабря 2013 г. 14:34
    27 декабря 2013 г. 13:54
    Модератор
  • Проверьте наличие, в необходимом случае доустановите, в Корневые доверенные - корневого сертификата thawte, в Промежуточные центры сертификации - Thawte SSL CA, Другие пользователи - сертификат интернет магазина - *.paysecure.ru
    Корневые и доверенные центры сертификации присутствуют, а  сертификат интернет магазина - *.paysecure.ru - нет и не представляю, каким образом мне установить этот сертификат, впрочем зачем это нужно его устанавливать. Разве недостаточно его принять только на время сеанса?
    27 декабря 2013 г. 14:21
  • не представляю, каким образом мне установить этот сертификат

    Хотя я это зря на себя наговариваю, знаю и установил, вот только толку отчего то нет.

    _ttp://hostingkartinok.com/show-image.php?id=0ff711ddf9916d6fdc64042a44913f75

    Неужели это планида моя такая?

    27 декабря 2013 г. 14:32
  • Неужели так трудно, вставить ссылку на стартовую страницу этого интернет-магазина?

    Для начала, попробуйте войти в интернет-магазин в обычном режиме, а не в режиме InPrivate. Предварительно проверив и настроив:

    -внесите сайт магазина и его защищённая часть в Надёжные сайты, снимите галку с "Для всех сайтов этой зоны требуется проверка серверов (https:)"

    -настройте "Уровень безопасности" для зоны "Надёжные сайты"?


    Да, я Жук, три пары лапок и фасеточные глаза :))



    28 декабря 2013 г. 0:43
    Модератор
  • да тут видимо не в этом дело, у меня в доверенных не стоит, но все нормально.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    28 декабря 2013 г. 7:23
  • у вас на вкладке безопасность кнопка "выбрать уровень безопасности....." активна или нет? если активна, нажмите, выставится по дефолту. также вкладка "дополнительно" кнопка "восстановить дополнительные параметры" примените.

    в корневых доверенных сертификаты имеются?


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    28 декабря 2013 г. 7:35
  • Неужели так трудно, вставить ссылку на стартовую страницу этого интернет-магазина?

    Для начала, попробуйте войти в интернет-магазин в обычном режиме, а не в режиме InPrivate. Предварительно проверив и настроив:

    -внесите сайт магазина и его защищённая часть в Надёжные сайты, снимите галку с "Для всех сайтов этой зоны требуется проверка серверов (https:)"

    -настройте "Уровень безопасности" для зоны "Надёжные сайты"?


    Да, я Жук, три пары лапок и фасеточные глаза :))



    Стартовая страница - https://magazin.interlot.ru/home/ , хотя я сомневаюсь, что вы будете там регистрироваться и вводить данные своей электронной карты.

    Всё вышеуказанное проделал (хотя не пойму, для чего так надо манипулировать настройками, всё должно работать "из коробки"). Результат прежний.


    А у вас, что пишет IE11 на этой странице - https://payments177.paysecure.ru/ ?

    28 декабря 2013 г. 8:49
  • Да, и как я уже выше писал, после попытки захода по этому адресу в журнале появляются такие записи:





    • Изменено Oleg Divov 28 декабря 2013 г. 9:01
    28 декабря 2013 г. 8:59
  • у вас на вкладке безопасность кнопка "выбрать уровень безопасности....." активна или нет? если активна, нажмите, выставится по дефолту. также вкладка "дополнительно" кнопка "восстановить дополнительные параметры" примените.

    в корневых доверенных сертификаты имеются?

    Не активна, стоит по умолчанию, но все равно сбросил на умолчание, результат тот же.


    Сертификаты так же есть, даже с избытком.


    28 декабря 2013 г. 9:14
  • И вот продолжение:


    28 декабря 2013 г. 9:15
  • Уточните, Вы отключаете InPrivate перед входом?, так как для правильного функционирования, требуется сохранение файлов cookies, а режим InPrivate запрещает работу с ними.

    На странице https://payments177.paysecure.ru/, выводится сообщение о необходимости предварительной авторизации:

    ожидаемая реакция перехода незарегистрированного пользователя в защищённую часть сайта.

    Так же дополните, что у Вас в Дополнительных настройках:


    Да, я Жук, три пары лапок и фасеточные глаза :))


    28 декабря 2013 г. 9:28
    Модератор
  • подтверждаю, те же яйца, сайт неправильно опубликован, точнее нет анонимного входа, да и авторизацию не предлагает, соответственно нет и обычной и встроенной проверки подлинности.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    28 декабря 2013 г. 9:38
  • Уточните, Вы отключаете InPrivate перед входом?, так как для правильного функционирования, требуется сохранение файлов cookies, а режим InPrivate запрещает работу с ними.

    На странице https://payments177.paysecure.ru/, выводится сообщение о необходимости предварительной авторизации:

    ожидаемая реакция перехода незарегистрированного пользователя в защищённую часть сайта.

    Уточняю, открываю IE11 в обычном режиме и захожу на https://payments177.paysecure.ru, после чего он пишет:

    28 декабря 2013 г. 9:51
  • Так же дополните, что у Вас в Дополнительных настройках:




    28 декабря 2013 г. 10:10
  • Попробуйте перевести отображение сайта в режим совместимости.

    P.S. Наличие большого количества сертификатов, не означает, что у Вас установлены те, которые необходимы для правильной работы страницы интернет-магазина. Причём, каждый сертификат, должен располагаться там, где он должен быть. Ранее Вам уже писал, цитата: "...в Корневые доверенные - корневого сертификата thawte, в Промежуточные центры сертификации - Thawte SSL CA, Другие пользователи - сертификат интернет магазина - *.paysecure.ru". На представленном Вами скриншоте, я не увидел корневого сертификата Вашего интернет-магазина "Интерлот" если мы говорим об одном и том же интернет-магазине:

    Вам проще и дешевле в таком случае, обратиться в техподдержку этого магазина как зарегистрированному Пользователю, с вопросом правильных настройках "Уровня безопасности для Надёжных сайтов", так как безопасность в IE11 устроена сложнее чем в IE10 и ниже.


    Да, я Жук, три пары лапок и фасеточные глаза :))



    28 декабря 2013 г. 11:27
    Модератор
  • Попробуйте перевести отображение сайта в режим совместимости.

    P.S. Наличие большого количества сертификатов, не означает, что у Вас установлены те, которые необходимы для правильной работы страницы интернет-магазина. Причём, каждый сертификат, должен располагаться там, где он должен быть. Ранее Вам уже писал, цитата: "...в Корневые доверенные - корневого сертификата thawte, в Промежуточные центры сертификации - Thawte SSL CA, Другие пользователи - сертификат интернет магазина - *.paysecure.ru". Вам проще и дешевле в таком случае, обратиться в техподдержку этого магазина как зарегистрированному Пользователю, так как безопасность в IE11 устроена сложнее чем в IE10 и ниже.

    В режиме совместимости результат прежний.

    Наличие нужных сертификатов корневых и промежуточных проверил, открыв сайт в другом браузере и посмотрев, какие сертификаты используются. В системе эти сертификаты есть, *.paysecure.ru принудительно установлен.

    Обратиться в поддержку попробую, но мне важно знать, как отображается этот сайт у других пользователей с аналогичной конфигурацией ( Windows 7, IE11), это локальная проблема или у всех такая же ситуация?

    28 декабря 2013 г. 11:57
  • На этот вопрос, долго придётся ждать ответа, так как Вы правильно обратили внимание на то, что необходима регистрация в этом интернет-магазине.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    28 декабря 2013 г. 12:15
    Модератор
  • На этот вопрос, долго придётся ждать ответа.
    Увы мне!
    28 декабря 2013 г. 12:21
  • Залез сейчас через TeamViewer на ноут к знакомой с Windows 7 и IE11. Сразу зашёл на https://payments177.paysecure.ru/pay/order.cfm и случилось чудо, показал надпись магазин не зарегистрирован, сертификат отображает правильно. 

     Значит косяк у меня. Что делать?



    • Изменено Oleg Divov 28 декабря 2013 г. 17:30
    28 декабря 2013 г. 16:31
  • :)) Олег, в самом первом своём сообщении, я Вам и представлял скриншот страницы:

    Вам необходимо разобраться с настройками в Вашем браузере Internet Explorer 11, сравнив с настройками у Вашей подруги. Дополнительно, вполне возможно, что для нормальной работы, Вам необходимо будет настроить Уровень безопасности для зоны Надёжные сайты.

    Начните с проверки в браузере Internet Explorer 11 Сервис\Свойства браузера\Содержание\Сертификаты, проверки установки Корневого и Промежуточных сертификатов thawte.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    29 декабря 2013 г. 4:50
    Модератор
  • Проверил сертификаты, сравнил их серийные номера - всё есть.

    На 2-ом устройстве с Windows 7 - ноут, та же самая бодяга - ничего не показывает. Вот как так может быть такое сразу на 2-ух устройствах, не понимаю?! Грешил на установленный EMET 2 и 3 версии, но у знакомой он так же установлен и сайт открывается. Сброс IE так же делал, запускал без надстроек, что ему ещё нужно?

    29 декабря 2013 г. 19:18
  • Хотя кое-какой косяк нашёл.

    Смотрите на рисунок. Слева - ваш, справа -мой. Разницу видите?


    Ладно, пробую установить ваш корневой сертификат, а он устанавливается в промежуточные центры (это если использовать автоматическую установку сертификата.

    В общем надо очищать хранилище сертификатов и устанавливать по-новому начисто, вот только как это правильно сделать?

    Насколько я знаю, они хранятся в реестре - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates .

    29 декабря 2013 г. 19:47
  • Ещё может быть в чём дело. Выполнил не так давно рекомендацию Microsoft о выключении RC4 - https://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx (на русском - http://www.xakep.ru/post/61588/). Не оно ли?

    Интересно было бы проверить тот сайтик IE11 на Windows 8.1. Никто не хочет?

    29 декабря 2013 г. 20:20
  • Вам проще включить RC4 и проверить результат.

    Основную ошибку пока вижу в том, что Вы сначала делаете, а потом начинаете задавать вопросы. В Windows 7, KB2868725 устанавливалось в ноябре 2013 года.

    Полный переход с SHA-1 на SHA-2, устанавливается с 1 января 2016 года.

    Дополнительно для Windows 8.

    О программе корневых сертификатов Windows.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    • Помечено в качестве ответа Oleg Divov 30 декабря 2013 г. 8:16
    30 декабря 2013 г. 5:24
    Модератор
  • Основную ошибку пока вижу в том, что Вы сначала делаете, а потом начинаете задавать вопросы.  В Windows 7,  KB2868725 устанавливалось в ноябре 2013 года.

    Дак делаю то, что рекомендует Microsoft, а не какой-то дядя.

    Microsoft рекомендует пользователям активировать TLS 1.2 в своих сервисах и предпринять шаги для подавления RC4 в текущих реализациях TLS.

    Это из блога - https://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2868725-recommendation-to-disable-rc4.aspx

    Я менял параметры в первой декаде ноября.

    Сейчас буду откатывать изменения.



    • Изменено Oleg Divov 30 декабря 2013 г. 8:00
    30 декабря 2013 г. 7:57
  • Изменил ключи реестра на сохранённый backup, перезагрузился и всё заработало. Спасибо всем за терпение.

    Подскажите напоследок содержание ключа реестра - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers

    Хочу сверить его с сохранённым.

     
    30 декабря 2013 г. 8:16
  • Спасибо Вам, что не опустили руки, не отмахнулись от диалога.

    С Наступающим новым годом!!!

    Реестр:


    Да, я Жук, три пары лапок и фасеточные глаза :))

    30 декабря 2013 г. 11:45
    Модератор
  • Жук, благодарю Вас за помощь и так же поздравляю с наступающими праздниками. 
    30 декабря 2013 г. 11:59