В рамках безопасности интернет соединения SSL/TLS сертификаты — необходимые цифровые ключи. Они выступают посредниками между устройством и сайтом или сервером. Гарантируют передачу данных в зашифрованном виде и обязательную защиту их от перехвата.
Иногда браузер или операционная система не доверяют определенному сертификату. Сбрасывает и выдает ошибку. Если к файлу нет претензий, то нужно добавить его в список доверенных, это не сложно.
Что такое SSL/TLS сертификат и зачем он нужен
SSL/TLS сертификат подтверждает, что сайт принадлежит указанному владельцу, и соединение безопасно. Например, когда пользователь заходит на страницу интернет-магазина, браузер проверяет сертификат (цифровой ключ) сайта и убеждается, что личная информация посетителя не попадет к мошенникам. Далее допускает коннект.
Доверенные файлы выпускают центры сертификации (Certificate Authorities, CA) с обязательной хорошей репутацией. Если они подписаны известным CA — устройства автоматически доверяют ему. Соединение происходит без сбоя.
Бывают случаи, когда ключи созданы самим владельцем сайта (самоподписанные) или выданы менее известным центром. Тогда система не считает его надежным и заблокирует.
В чем может быть проблема
Помимо того, что сертификаты могут быть самоподписанными, другая причина «выйти из доверия» — когда истек срок действия. Даже если сначала они были доверенными, просроченный файл станет недействительным.
Такие версии удобны для тестирования или работы в локальной сети. В интернете же — не признаются системами автоматически.
Кроме того, некоторые компании или организации используют свои собственные центры сертификации. Изначально они не добавлены в стандартный список доверенных на устройстве. Тогда необходимо настроить и добавить вручную.
Чтобы проверить, что сервер не доверяет сертификату достаточно выполнить команду curl с ключом I.
curl –I https://linuxforyou.ru
Как добавить в список доверенных
Сам процесс добавления сертификатов от версии операционной системы отличается. Рассмотрим два варианта:
- для дистрибутивов на базе Debian/Ubuntu;
- для дистрибутивов на базе RHEL/CentOS/Rocky.
Debian/Ubuntu:
sudo cp /path/to/your-certificate.crt /usr/local/share/ca-certificates/your-certificate.crt
Обновим хранилище.
sudo update-ca-certificates
RHEL/CentOS/Rocky Linux:
sudo cp /path/to/your-certificate.crt /etc/pki/ca-trust/source/anchors/your-certificate.crt
Обновим хранилище.
sudo update-ca-trust
Процесс занимает несколько минут. Добавляйте только те сертификаты, которым вы полностью доверяете.
Не стоит добавлять сертификаты, если вы не понимаете, как они работают. Или когда вы не уверены в их источнике. Не берите в работу файлы с ошибками или поврежденные. При любых сомнениях в безопасности сначала проверить его у эксперта. Помните про срок действия.
Это полезный навык для многих рабочих процессов. Активным пользователям или IT специалистам может быть полезен даже в повседневной жизни. Если вы уверены в цифровом ключе, безопасное соединение восстанавливается в несколько простых шагов. Вы сможете устранить проблему самостоятельно.