Как зайти на сайт ВТБ или других банков с отозванными сертификатами?
Первое что приходит в голову когда система ругается на сертификаты это произвести работу с этими самыми сертификатами на компе, а именно.
По умолчанию Windows кэширует:
- CRL сертификаты (списки отозванных сертификатов)
- и CA сертификаты
Недостатком такого поведения является то, что клиент не запрашивает более новый CRL пока срок локального кэша CRL не истечет.
НО в системе есть еще и OCSP сертификаты.
Отсюда можно было предположить что сертификаты могли просто устареть на данном windows и тут есть два варианта:
- Почистить сертификаты вручную
- Удалить CRL и OCSP кеш
Я воспользовался вторым вариантом и просто удалил кеш
Все! Вот таким способом мы решили ошибку с отозванным сертификатом для веб сайта.
2 ответов
последний раз, когда я проверял, IIS использовал повторное согласование (по умолчанию) для получения сертификата клиента: есть первое рукопожатие, когда сервер не запрашивает сертификат клиента, а затем другое рукопожатие (зашифрованное на этот раз), когда сервер запрашивает сертификат (через TLS сообщение)
Это помешает вам увидеть что-либо из Wireshark, если вы не настроите его использовать закрытый ключ сервера и расшифровать трафик (обратите внимание, что это работает только с некоторыми наборами шифров)
один из способов увидеть согласование клиент-сертификат-настроить IIS для использования начального согласования сертификата клиента, используя netsh и clientcertnegotiation=true (это о нач переговоров). По крайней мере и сертификат будет отправлен в clear во время рукопожатия, поэтому вы сможете увидеть это с Wireshark.
Если клиент не отправляет сертификат на сервер в ответ на , вы все равно увидите пустой сообщение от клиента.
если вы не экспортируете закрытый ключ с сертификатом для использования с Fiddler или любым другим клиентом, нет никаких шансов, что он сможет использовать сертификат. В лучшем случае он может попытаться отправить сертификат, но рукопожатие не удастся (так как сообщение должно быть подписано личным ключом клиента).
Я думаю, вы можете столкнуться с проблемой в результате:
- не представление сертификата принимается сервером (это фактически необязательно),
- представление недопустимого сертификата приводит к сбою и вызывает этот код состояния 403.7 (многие серверы и стеки SSL/TLS реализуют это как фатальную ошибку, но спецификация TLS не сказать, что , , , должно быть фатальным, так что это на усмотрение сервера).
используете ли вы одну и ту же физическую машину для тестирования как сетевых, так и внешних сетевых подключений? Если нет, вы уверены, что клиент внешней сети имеет доступ к закрытому ключу?
Я не настраивал аутентификацию клиента Fiddler раньше. Считывает ли он сертификат клиента и ключ из стандартных хранилищ сертификатов? Он читал непосредственно из pkcs12 из?
еще одна вещь, которая может быть полезна, — это проверка рукопожатия TLS в WireShark. В частности, проверьте сообщение «запрос сертификата» сервера, поскольку данные здесь указывают клиенту (IE9), какие сертификаты клиента он должен отображать в приглашении. Сравните это для внутренних и внешних соединений.
Исправление ошибки сервера 403 Forbidden
Чтобы исправить ошибку сервера 403 Forbidden, обязательно нужен доступ к панели управления вашего хостинга. Все описанные ниже шаги применимы к любой CMS, но примеры будут показаны на основе WordPress.
Проверка индексного файла
Сначала я проверю, правильно ли назван индексный файл. Все символы в его имени должны быть в нижнем регистре. Если хотя бы один символ набран заглавной буквой, возникнет ошибка 403 Forbidden. Но это больше относится к ОС Linux, которой небезразличен регистр.
Еще не стоит забывать, что индексный файл может быть нескольких форматов, в зависимости от конфигураций сайта: index.html, index.htm, или index.php. Кроме того, он должен храниться в папке public_html вашего сайта. Файл может затеряться в другой директории только в том случае, если вы переносили свой сайт.
Любое изменение в папке или файле фиксируется. Чтобы узнать, не стала ли ошибка итогом деятельности злоумышленников, просто проверьте графу «Дата изменения».
Настройка прав доступа
Ошибка 403 Forbidden появляется еще тогда, когда для папки, в которой расположен искомый файл, неправильно установлены права доступа. На все директории должны быть установлены права на владельца. Но есть другие две категории:
- группы пользователей, в числе которых есть и владелец;
- остальные, которые заходят на ваш сайт.
На директории можно устанавливать право на чтение, запись и исполнение.
Так, по умолчанию на все папки должно быть право исполнения для владельца. Изменить их можно через панель управления TimeWeb. Для начала я зайду в раздел «Файловый менеджер», перейду к нужной папке и выделю ее. Далее жму на пункт меню «Файл», «Права доступа».
Откроется новое окно, где я могу отрегулировать права как для владельца, так и для всех остальных.
Отключение плагинов WordPress
Если даже после всех вышеперечисленных действий ошибка не исчезла, вполне допустимо, что влияние на работу сайта оказано со стороны некоторых плагинов WordPress. Быть может они повреждены или несовместимы с конфигурациями вашего сайта.
Для решения подобной проблемы необходимо просто отключить их. Но сначала надо найти папку с плагинами. Открываю папку своего сайта, перехожу в раздел «wp-content» и нахожу в нем директорию «plugins». Переименовываю папку – выделяю ее, жму на меню «Файл» и выбираю соответствующий пункт. Название можно дать вот такое: «plugins-disable». Данное действие отключит все установленные плагины.
Теперь нужно попробовать вновь загрузить страницу. Если проблема исчезла, значит, какой-то конкретный плагин отвечает за появление ошибки с кодом 403.
Но что делать, если у вас плагин не один, а какой из них влияет на работу сайта – неизвестно? Тогда можно вернуть все как было и провести подобные действия с папками для определенных плагинов. Таким образом, они будут отключаться по отдельности. И при этом каждый раз надо перезагружать страницу и смотреть, как работает сайт. Как только «виновник торжества» найден, следует переустановить его, удалить или найти альтернативу.
Как решить проблему, если вы – пользователь
Выше я рассмотрела способы устранения ошибки 403 Forbidden для владельцев сайта. Теперь же разберу методы исправления в случаях с пользователем.
- Сначала надо убедиться, что проблема заключается именно в вашем устройстве. Внимательно проверьте, правильно ли вы ввели URL сайта. Может, в нем есть лишние символы. Или, наоборот, какие-то символы отсутствуют.
- Попробуйте загрузить страницу с другого устройства. Если на нем все будет нормально, значит, проблема кроется именно в используемом вами девайсе. Если нет – надо перейти к последнему шагу.
- Еще хороший вариант – немного подождать и обновить страницу. Делается это либо кликом по иконке возле адресной строки браузера, либо нажатием на комбинацию Ctrl + F5. Можно и без Ctrl, на ваше усмотрение.
- Если ничего из вышеперечисленного не помогло, надо очистить кэш и cookies. Провести такую процедуру можно через настройки браузера. Для этого необходимо открыть историю просмотров, чтобы через нее перейти к инструменту очистки. Эту же утилиту часто можно найти в настройках, в разделе «Конфиденциальность и безопасность». В новом окне нужно отметить пункты с кэшем и cookies и нажать на кнопку для старта очистки.
- Ошибка 403 Forbidden возникает и тогда, когда пользователь пытается открыть страницу, для доступа к которой сначала надо осуществить вход в систему. Если у вас есть профиль, просто войдите в него и попробуйте вновь загрузить нужную страницу.
- Если вы заходите со смартфона, попробуйте отключить функцию экономии трафика в браузере. Она находится в настройках, в мобильном Google Chrome под нее отведен отдельный раздел.
- Последний шаг – подождать. Когда ни один способ не помогает, значит, неполадки возникли именно на сайте. Возможно, его владелец уже ищет способы решения проблемы и приступает к их исполнению, но это может занять какое-то время. Пользователям остается только дождаться, когда все работы будут завершены.
Еще одна допустимая причина появления ошибки сервера 403 – доступ к сайту запрещен для определенного региона или страны, в которой вы находитесь. Бывает и такое, что сайт доступен для использования только в одной стране. Если вы используете VPN, попробуйте отключить его и перезагрузите страницу. Вдруг получится все исправить.