Обновление корневых сертификатов
 

Проблема корневых сертификатов стала актуальна для Windows 7 после окончания её поддержки. И если с отсутствием свежих хотфиксов смириться, в принципе, можно, то из-за не обновлённого хранилища сертификатов перестают нормально отображаться сайты и ломаются онлайн инсталляторы (примеры тут, тут и тут). В данной теме выкладываю набор актуальных корневых и отозванных сертификатов (аналог KB931125 + KB2917500) и даю ссылки на аналогичные разработки участников форума. Кроме того в интернете вы можете найти и другие похожие решения.
--
Скачать RootCertUpdater, зеркало
Ключи тихой установки:
-y -gm2 -fm0 - установка с исправлением отозванных сертификатов
-ai -gm2 -fm0 - установка без исправления отозванных сертификатов (оригинальная установка)

Совместимость: от Windows XP до Windows 11 (x86/x64)
--
Данный обновлятор представляет собой 7z SFX архив со следующим конфигом: и содержит актуальные на дату публикации файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst

Вы можете самостоятельно обновлять обновлятор) открыв его в архиваторе 7-Zip и перетянув в него более свежие sst-файлы:
На применённый в наборе SFX модуль 7-Zip возможен ложный детект антивируса. Отключите временно антивирус или используйте другой вариант обновления сертификатов.

---

Другие варианты обновления корневых сертификатов:

Набор от Vanadiy777 (обновляется автором)

Набор от boss911

Набор от sov44 (обновляется автором)

Набор от san02

Russian Trusted Root CA + Russian Trusted Sub CA - Российский корневой сертификат

jameszero, наверное было-бы интереснее, если бы утилита сама скачивала сертификаты и обновляла системные.

sov44, не вижу проблем прикрутить к набору wget, но теряется автономность и возможность использовать набор при автоустановке. С другой стороны, то что вы предлагаете, уже есть по ссылке - "другие варианты решения".

Автозагрузка сертификатов с последующем обновлением.

Update and Revoked Roots (UpdRoots)

jameszero, Запустил через командную строку с ключом -y -gm2 -fm0 , но что-то не получилось. Что не так я делаю?

Nyvi, это не так работает.
Ключи нужно дописывать к исполняемому файлу RootCertUpdater.exe, перейдя в его директорию или указав полный путь.
Если нужны подробности, спросите в теме Помощь начинающим .:[все вопросы]:.
В данной теме это оффтоп.

Скачал, запустил. Не подскажете, чего еще ему надо?

Странно... У меня вот так

Моя сборка для скачивания и обновления корневых сертификатов CertUpdater.exe
Сборку можно обновить при помощи ключа -aiu, добавлена установка сертификатов Минцифры с поддержкой Mozilla Firefox и других Mozilla-подобных установочных браузеров.

Ключи установки:

CertUpdater.exe -aid -gm2 -fm0 - формирование в папке MyDoubles списка дублей сертификатов. В пути к CertUpdater.exe не должно быть кириллицы.
CertUpdater.exe -aie -gm2 -fm0 - экспорт корневых сертификатов из системы в папку MyRoots, для Windows 8.1 и старше.
CertUpdater.exe -aii -gm2 -fm0 - импорт корневых сертификатов из папки MyRoots в систему, для Windows 8.1 и старше.
CertUpdater.exe -aim -gm2 -fm0 - вызов системного менеджера сертификатов.
CertUpdater.exe -air -gm2 -fm0 - скачивание и установка корневых сертификатов в систему, обновление CertUpdater.
CertUpdater.exe -aiu -gm2 -fm0 - обновление пакета корневых сертификатов CertUpdater.
CertUpdater.exe -aik -gm2 -fm0 - вызов менеджера сертификатов пользователя и компьютера.
CertUpdater.exe -ais -gm2 -fm0 - тихое скачивание и установка корневых сертификатов в систему, обновление CertUpdater.
CertUpdater.exe -aip -gm2 -fm0 - создаёт задание в планировщике для ежемесячного тихого обновления корневых сертификатов в системе.
CertUpdater.exe -aiv -gm2 -fm0 - создаёт файл TPcert.txt с данными сторонних сертификатов в системе, не входящих в Microsoft Trusted Root Certificate Program.
CertUpdater.exe -h - вызов справки.

2 sov44
Какие условия необходимы что-бы сработало CertUpdater.exe -aie -gm2 -fm0 ?
CertUpdater запускается, каталог не создаётся, ничего не скачивается. Не помогает создание каталога вручную.
В PH вижу что запускается CMD потом certutil 2 раза и всё тишина....

Начинаем разбираться.
Тут - "D:\1\" - Работает, но скачивается только 2, authroot.stl disallowedcert.stl.
Тут - "D:\!__Downloads__!\Обновление корневых сертификатов\" - Не работает.

DVall, абсолютно никаких дополнительных условий не нужно.
Открываете командную строку в папке, где находится CertUpdater.exe
В командной строке вводите:
Второй вариант:
Копируете полный путь до файла CertUpdater.exe
Затем "Win + R" откроется "Выполнить", вставляете свой путь, заключенный в кавычки, и дописываете необходимые ключи -aie -gm2 -fm0

У меня, например, это выглядит так:
И каталог MyRoots создается, и файлы все нормально туда скачиваются.

2 Vanadiy777
Не..
Если CertUpdater лежит в каталоге "D:\!__Downloads__!\Обновление корневых сертификатов\" Захожу в него FAR'ом и пытаюсь запустить CertUpdater.exe -aie -gm2 -fm0. То неработает...
Если же CertUpdater лежит в каталоге D:\1\, то таже схема работает....

DVall, не запускайте CertUpdater из папки, содержащей спецсимволы, такие как * ? [ ] { } > < | ; & $ ! ( ) ` ~ #
Если командную строку еще можно под их настроить, то утилиты скачивания и установки не факт, что будут работать.

Эти файлы скачиваются, т.к. у вас версия Windows ниже 8.1 (вчерашняя правка CertUpdater), в старших версиях будет другой набор файлов.

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Добрый день.
А можно как то откатить всё назад?
Я понимаю, что "после не значит вследствие" но после применения этого скрипта, я не могу зайдти на Портал Федерального Казначейства. Система была абсолютно рабочей, это было единственное серьезное вмешательство.

SibUrsus, при помощи точек восстановления откатить систему на более раннее состояние.

SibUrsus, RootCertUpdater не затрагивает сертификаты с алгоритмом подписи ГОСТ, используемые на портале Федерального Казначейства.

SibUrsus, скрипты действительно никак не влияют на сертификаты ФК, проверил на вин7, вин10. Если по какой-то причине сертификаты ФК всё же пропали в хранилище сертификатов, скачайте и переустановите их по новому.
https://roskazna.gov.ru/upload/ibloc..._i_UTS_FK.docx

А вот мой вариант на основе решения от jameszero

Скачать с Яндекс.Диск

Сделано сразу в виде SVCPACK-аддона для Windows XP, упаковано в WinRAR SFX, который запускает во временной папке install.cmd. Никаких ключей установки не требуется, всё максимально просто: есть интернет - *.sst- и российские *.cer-файлы обновляются и устанавливаются; нет интернета - ставится то, что есть в архиве. Работает как будучи внедрённым в дистрибутив, так и на установленной системе. На Windows XP применяется на T13, для Windows 7 нужно прописать exe-шник в SetupComplete.cmd. Также на Windows XP был протестирован вариант, когда процессор не поддерживает вообще никаких инструкций SSE - всё работает. Для применения на установленной системе я бы рекомендовал распаковать куда-нибудь, чтобы видеть процесс работы и чтобы после этого свежие *.sst- и *.cer-файлы не самоуничтожились. Их потом можно будет обновить в архиве. Также можно будет модифицировать install.cmd под свои нужды, например создать менюшку при помощи команды CHOICE.
В общем, полная свобода творчества. И да, на Virustotal WinRAR SFX тоже проверку не проходит. Подозрительный, мол. Хотите - сами полностью перепаковывайте, главное учитывать, что WinRAR младше версии 6.0 не понимает тега <hide> в комментарии, а старше 6.02 - не поддерживает Windows XP.

jameszero, а в чём смысл использования updroots разных версий? Почему нельзя обойтись одним?

zloy_buka, задумывал набор как:
и даже рассматривал установку через inf-файлы, как в оригиналах. А по факту да, можно обойтись и одним updroots.

jameszero,
если не секрет, почему отказались от этого варианта и не стали делать?

Если это еще кому то нужно...

На основе разработок и решений от boss911, san02, sov44 и jameszero, собрал свой вариант набора UpdRootsCert в Inno Setup...
Принцип работы остался прежний: если есть интернет - то скачиваются и устанавливаются последние сертификаты,
если нет - то установятся сертификаты из набора.

На данный момент в наборе актуальные версии сертификатов (28.06.2022).

UPD:

Обновлен набор установки сертификатов UpdRootsCert

• Добавлена возможность загрузки и установки Российского корневого сертификата.
• Добавлена возможность выбора раздельной загрузки и установки сертификатов.
• При наличии подключения к интернету будут загружены и установлены выбранные Вами сертификаты из интернета.
• При отсутствии подключения будут установлены сертификаты из набора, или те сертификаты, которые расположены рядом с набором.

Ключи тихой установки:

• Установка только корневых сертификатов - /VERYSILENT /Tasks=RootCert
• Установка только Российского сертификата - /VERYSILENT /Tasks=RussCert
• Установка сразу всех сертификатов - /VERYSILENT /Tasks=RootCert,RussCert

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Обновил набор UpdRootsCert

• Добавлена поддержка английского языка.
• Добавлена возможность установки сертификатов, находящихся рядом с набором (только оффлайн).
  Для этого необходимо расположить файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst рядом с набором.
• Добавлен актуальный набор корневых сертификатов.
• При подключенном интернете будут установлены сертификаты, скачанные с сайта Майкрософт.
• Исправлена ошибка отображения диалогов при масштабировании.

UPD:

Обновлен набор установки сертификатов UpdRootsCert

• Добавлена возможность загрузки и установки Российского корневого сертификата.
• Добавлена возможность выбора раздельной загрузки и установки сертификатов.
• При наличии подключения к интернету будут загружены и установлены выбранные Вами сертификаты из интернета.
• При отсутствии подключения будут установлены сертификаты из набора, или те сертификаты, которые расположены рядом с набором.

Ключи тихой установки:

• Установка только корневых сертификатов - /VERYSILENT /Tasks=RootCert
• Установка только Российского сертификата - /VERYSILENT /Tasks=RussCert
• Установка сразу всех сертификатов - /VERYSILENT /Tasks=RootCert,RussCert

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

После этого обновления в журнале винды появилась ошибка:
ладно бы просто появилась фиг с ней но в момент когда она появляется система подвисает на 1 сек.
Такого сертификата нигде не нашел в системе или не знаю где искать.

Инсульт, к данной теме это не имеет отношения. Найдите и удалите просроченный сертификат PortableWarez.

Обновил свой набор UpdRootsCert

• Добавлена отдельная кнопка для загрузки сертификатов в папку с программой для дальнейшего использования файлов в автономном режиме.
• Добавлен актуальный набор корневых сертификатов (23.08.2022)
• При подключенном интернете будут установлены сертификаты, скачанные с сайта Майкрософт.

UPD:

Обновлен набор установки сертификатов UpdRootsCert

• Добавлена возможность загрузки и установки Российского корневого сертификата.
• Добавлена возможность выбора раздельной загрузки и установки сертификатов.
• При наличии подключения к интернету будут загружены и установлены выбранные Вами сертификаты из интернета.
• При отсутствии подключения будут установлены сертификаты из набора, или те сертификаты, которые расположены рядом с набором.

Ключи тихой установки:

• Установка только корневых сертификатов - /VERYSILENT /Tasks=RootCert
• Установка только Российского сертификата - /VERYSILENT /Tasks=RussCert
• Установка сразу всех сертификатов - /VERYSILENT /Tasks=RootCert,RussCert

Vanadiy777,

Сможете добавить ещё возможно закачки и установки корневого сертификата "Министерство цифрового развития, связи и массовых коммуникаций" ?

Anton04,

Извините, но не вижу практического смысла добавлять эту функцию в набор.
По Вашей ссылке есть подробная инструкция, где все делается в несколько кликов.

Смысл есть:
1. Автоматизация, одна софтина решает одну проблему сертификатов, плюс возможность тихой установки, банально можно даже в планировщик запихнуть..
2. Большинству пользователей и инструкция предоставленная на сайте госуслуг это что-то запредельное.
3. Количество сайтов требующих данный УЦ будет расти достаточно активно, т.е. будет обеспечена востребованность Вашего творения.

Корневой и промежуточный сертификаты НУЦ Минцифры России
Russian Trusted Root CA + Russian Trusted Sub CA
Тихий установщик.

Скачать, зеркало
VirusTotal Report

Примечание:
Пользователям Firefox параметр security.enterprise_roots.enabled необходимо выставить в true, либо устанавливать сертификаты вручную. Для Chromium браузеров дополнительных действий не требуется.

Получается, что нужно... (так сказать, по заявкам радиослушателей...)
Тогда и сертификаты Федерального Казначейства надо добавлять... :)

Про налоговую забыли.

Тут надо подумать. Если(когда) банки перейдут на российские сертификаты, тогда Russian Trusted Root CA пригодится всем и физикам и юрикам, а вот Казначейство и налоговая это только для юриков. Плюс там сертификаты с ГОСТ шифрованием и требуется совместимый браузер. Думаю, большинству эти сертификаты не будут нужны в системе.

Нужно. Так стоит ждать от Вас изменения в Ваше творение?

Anton04,
Это не мое творение... :)
Как я уже говорил:
Я ни разу не программист, но попробую добавить... Но проверять сами будете...
Опять же, если не будет против автор темы jameszero...

Кстати, никто не разу не отписался - работает, или нет...

P.S. По большому счету, jameszero уже все сделал... :wink:

Всё работает, если бы не работало то вы бы быстро узнали :D

если набором пользуются только в России

Подскажите, есть механизм автоматического обновления российских сертификатов, помимо установки ЯБ или Атома?

sputnikk, а что вы хотите автоматически обновлять? Установите корневой и промежуточный, первый до 2032 года действителен, второй до 2027. Обновлять их до этого срока не потребуется, ну разве что выпустят и другие корневые сертификаты, но это сейчас никак нельзя предусмотреть и автоматизировать.

Доброго здравия всем! Спасибо вам огромное, что натолкнули на мысль. Два вечера голову ломал - не мог зайти на сайт личного кабинета Федерального Аккредитационного Центра Росминздрава. После установки сертификатов из сообщения №45 от jameszero все получилось!

Спасибо, не думал, что такие долгоживущие.

Забавно. Firefox сохраняет сертификаты с госуслуг с расширением .txt, хотя правильно отображаются в меню "сохранить объект как". Пришлось вручную убирать .txt.
Проверить установку можно здесь https://www.sberbank.ru/ru/certificates , нажав на кнопку

Набор установки и обновления корневых сертификатов UpdRootsCert версия 23.05.14.2




Ключи для тихой установки: (Примеры)

• /VERYSILENT /Tasks=RootCert - Установка только корневых сертификатов
• /VERYSILENT /Tasks=RussCert - Установка только Российского сертификата
• /VERYSILENT /Tasks=AddTasks - Добавление задачи в Планировщик заданий
• /VERYSILENT /Tasks=RootCert,RussCert - Установка сразу всех сертификатов
• /VERYSILENT /Tasks=RootCert,RussCert,AddTasks - Установка сразу всех сертификатов и добавление задачи в Планировщик заданий
• /VERYSILENT /NOINST /Tasks=AddTasks - Добавление задачи в Планировщик заданий без создания записи в "Программы и компонеты"
• /VERYSILENT /NOINST - Удаление записи в "Программы и компонеты", если программа была уже установлена

Параметры "/Tasks=" можно указывать в любой последовательности через запятую.

Скан на VirusTotal

Скачать:
UpdRootsCert - Скачать с Google Диск
UpdRootsCert - Скачать с Яндекс.Диск

Проверил наличие Российских сертификатов по ссылке - https://www.sberbank.ru/ru/certificates
Пишет всё ОК. Сертификаты установлены. Хотя я сам их явно не устанавливал. Russian Trusted Root&Sub CA.exe не запускал.
Все сайты открываются нормально.
Система Win7 SP1. Браузер Google Chrome.
Где (как) просмотреть (проверить) установленные в систему сертификаты?

Пошаговое руководство. Просмотр сертификатов с помощью оснастки MMC

В доверенных корневых центрах сертификации и в промежуточных ищите различные "Russian Trusted..."

Проверить - работает, или нет:
Попробуйте в Google Chrome открыть ссылку https://fgiscs.minstroyrf.ru/
Если страница открылась, значит сертификаты установлены.

Посмотреть установленные сертификаты можно при помощи certs.msc, спасибо jameszero за подсказку и утилиту.
Она показывает и "Текущий пользователь", и "Локальный компьютер".

Чтобы по новой не расписывать, т.к. коллега Anton04 уже все сказал:

С помощью утилиты certs.msc просмотрел ВСЁ "дерево" Корень консоли: Сертификаты - текущий пользователь и Сертификаты (локальный компьютер).
Russian Trusted Root не обнаружил. Все проверочные ссылки по прежнему открываются без проблем. ЯБ и Атом никогда не устанавливал. Чудеса.
Из Российского ПО установлен KSOS8. Всем спасибо за отклик.

bgvg,
По любому, какой-нибудь из наборов положите в свою коллекцию, пока они доступны... (не реклама, просто не известно, что дальше с форумом будет...)
В будущем может очень пригодиться.
Тем более, что они поддерживают системы от Windows XP до Windows 11
и установку через SetupComplete.cmd, для Windows 7 и выше, а также, через SVCPACK для Windows XP.

bgvg, вероятно при первом входе на сайт дали разрешение защите KSOS пропускать его с не валидным сертификатом и теперь у вас так:

Удалите это исключение и установите корневой сертификат.

jameszero,
Всё именно так, как Вы описали.
Проблема решена.

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Странно, но вирус тотал видит такое.
https://krakenfiles.com/view/yCNS6pDOGp/file.html
Почему так? Вроде полезная штука, но как то боюсь качать такой файлик.

Evgenij Orlov, в шапке бардовый текст.

Evgenij Orlov,
Качайте смело, не бойтесь... Это ложный детект на SFX-модуль.
Многие антивирусы неадекватно реагируют на самораспаковывающиеся архивы и выполнение команд после распаковки.

Коллега jameszero в шапке специально пометку сделал.

Обновлен набор установки сертификатов UpdRootsCert до версии 22.09.30

• Добавлена кнопка "Сертификаты" для просмотра установленных сертификатов.
• Добавлены актуальные корневые сертификаты (27.09.2022).

Ссылки на загрузку прежние или из шапки темы - Набор для обновления корневых сертификатов от Vanadiy777

Vanadiy777, не хватает очень добавление задачи в планировщик задач , а так штука нужная , спасибо !

Painkiller, подумаю, как сделать...
Но это, неизбежно, приведет к усложнению программного кода, а также, к обязательному копированию файла UpdRootsCert.exe непосредственно в систему.

SchTasks + запуск файла скачанного по URL, но будет выглядеть как вредонос.

Да, и это не есть хорошо... :)

Обновлен набор установки сертификатов UpdRootsCert до версии 22.10.14

• Исправлена критическая ошибка в работе программы на ОС Windows 7, если имя пользователя содержит пробелы.
• Изменен алгоритм работы кнопки "Сертификаты", кнопка вновь становится активной после закрытия оснастки.
• Изменен алгоритм работы кнопки "Загрузить", кнопка вновь становится активной после загрузки сертификатов.
• Исправлены другие, незначительные ошибки.

Ссылки на загрузку прежние

Обновлен набор установки сертификатов UpdRootsCert до версии 22.10.16

• Исправлена критическая ошибка, периодически возникающая на ОС Windows 10-11 при загрузке Российских сертификатов.
• Исправлена ошибка в работе программы, если имя папки содержит кириллицу или пробелы.
• Добавлены актуальные Российские сертификаты (11.10.2022).
• Небольшие косметические изменения интерфейса.

Ссылки на загрузку прежние

UpdRootsCert в какую папку скачивает сертификаты, рядом с программой нет?

JokerVitalya,
Если нажимаете кнопку Загрузить, то скачаются выбранные сертификаты в папку с программой.

Если кнопку Установить, то скачиваются во временную папку, устанавливаются, а затем удаляются из временной папки после установки.

Создал папку закинул UpdRootsCert, нажимаю загрузить, в папке с программой ничего нет. Windows 11

JokerVitalya,
Папка не должна содержать в названии кириллицу и пробелы.

А программа что говорит? Она должна выдать ошибку, если файлы не загружены.

Вы последнюю версию набора скачали?

Спасибо большое, папка была в кириллице!!!

JokerVitalya,
Спасибо, что нашли этот баг, пофиксил по быстрому.

Коллеги, если кто уже успел скачать версию 22.10.16, то перекачайте набор, пожалуйста.
Приношу свои извинения за предоставленные неудобства.

Ссылки на загрузку прежние

Набор установки сертификатов UpdRootsCert модернизирован и обновлен до версии 22.10.20

• Реализована функция добавления задачи в Планировщик заданий.
  (Программа будет установлена на компьютер и создана задача в Планировщике.
  Расписание задания - 08.00 28-го числа каждого месяца. Удаление программы - через "Программы и компоненты".)
• Добавлена возможность использования пользовательских настроек для Планировщика заданий из файла AddTasks.xml.
  (Настроенный файл AddTasks.xml необходимо расположить рядом с набором, он будет подхвачен автоматически)
• Добавлена возможность не создавать запись в "Программы и компоненты" при установке программы. (Только через параметр).
• Добавлена возможность удалять запись в "Программы и компоненты", если программа уже установлена. (Только через параметр).
• Язык интерфейса: Русский.

Описание и ссылки на загрузку прежние

В последней версии набора UpdRootsCert 22.10.20
возможно ложное срабатывание антивируса на VirusTotal
Эта угроза позиционируется как "серое" программное обеспечение, и, очевидно, возникает из-за того, что выполняются операции с Планировщиком заданий, и никаких угроз не представляет.

Vanadiy777
Приветствую Вас! Прошу прощения за свою безграмотность в области ПК.
Если Вас не затруднит, то разъясните пожалуйста мне мои вопросы.
1. Скажите, а где находится этот файл AddTasks.xml?
2. И, как/где посмотреть в Планировщике расписание задания - 08.00 28-го числа....?
3. Добавлена возможность ...(Только через параметр) -- это как и что, параметр какой?

Nyvi,
Рад слышать!

1. Файл AddTasks.xml нигде не находится, его надо создать самостоятельно со своими параметрами.
Также, можно изменить уже имеющееся задание по своему усмотрению, а затем экспортировать в файл AddTasks.xml

2. Win + R - mmc.exe /s taskschd.msc - Библиотека планировщика заданий.

3. Через параметр - это значит с параметрами командной строки.
В данном случае имеется ввиду параметр /NOINST

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Обновлен набор установки сертификатов UpdRootsCert до версии 22.10.26

• Добавлены актуальные корневые сертификаты (25.10.2022).
• Устранено ложное срабатывание на VirusTotal.

Ссылки на загрузку прежние

Vanadiy777, Здравствуйте! Если Вас не затруднит, поясните мне пожалуйста.
1. После каждого обновления UpdRootsCert до новой версии, его нужно заново скачать и установить?
Вот у меня установлен UpdRootsCert v.22.10.20. Планировщик будет запускаться - 08.00 28-го числа каждого месяца.
2. Автоматом (при наличии интернета) будут загружаться актуальные корневые сертификаты?

С уважением.

Nyvi,
Совсем не обязательно, это на Ваше усмотрение.
Если программа уже установлена, то она сама, в назначенное время (при наличии подключения к интернету),
скачает и установит актуальные сертификаты.
Но, если есть желание, то можете перекачать и установить прямо поверх старой версии.

Для наглядности добавил в описание скриншоты программы UpdRootsCert

Ссылки на описание и загрузку прежние

из интернета из сети "Интернет" :read:

NickM,
Вы что - филолог?
Где :read: , что "Интернет" - это имя собственное?

Вместо того, чтобы "кидаться тапками" и придираться по мелочам, лучше бы свое мнение высказали по поводу работы самой программы... :wink:

Мне нравится! :Beer:

А что тогда это?

Нет, не он, но и глаз ведь тоже режет.

Набор установки сертификатов UpdRootsCert обновлен до версии 22.11.01

• Добавлена поддержка для Mozilla Firefox при установке Российских сертификатов.
  (Теперь пользователям Mozilla Firefox не нужно параметр security.enterprise_roots.enabled выставлять в true, либо устанавливать сертификаты вручную)

Ссылки на загрузку прежние

С данным релизом получаю интригующую ошибку. Запускал несколько раз с одинаковым результатом.
Порядок действия следующий, просто запускаю программу, появляется окно с выбором что сделать и сразу нажимаю на кнопку выход и получаю ошибку.



В логах Windows есть такая запись:

Целевая система Windows 7 SP1 Rus 64-bit
Каталог запуска программы англоязычный не имеющий пробелов.

P.S. Кстати немного не логично, что кнопка "Выход" есть, а крестик на окно не активен.

Набор установки сертификатов UpdRootsCert обновлен до версии 22.11.01.1

• Исправлена не критическая ошибка, возникающая только на ОС Windows 7 при нажатии кнопки "Выход".

Ссылки на загрузку прежние


P.S.

Цитата:

Цитата Anton04 Кстати немного не логично, что кнопка "Выход" есть, а крестик на окно не активен. »

Кстати, крестик вернул... :wink:

Vanadiy777,
Приветствую Вас! У меня установлен фаервол simplewall, и вот когда включается планировщик заданий (28-го числа в 8:00 час. для проверки актуальных сертификатов), то simplewall постоянно спрашивает разрешить выход в сеть.
Хотя я и добавил ваш набор в приложения с доступом в сеть!

1. Как надо сделать, чтобы автоматом запускался файл проверки/загрузки актуальных сертификатов ?
2. А, если ПК 28-го числа в 8:00 час. будет выключен, меня не будет за ПК, то Планировщик не выполнит задание?

С уважением.

Фаервол simplewall ругается не на сам набор, а на утилиту wget, которая используется для загрузки сертификатов.
А, поскольку она извлекается в свою временную папку, которую создает набор при работе, то и путь у нее каждый раз получается разный.
Из-за этого ее нельзя добавить в исключения, будет спрашивать каждый раз.
При использовании фаервола - никак...

Варианты решения:
1. Не использовать фаервол, если добавлена задача в Планировщик...
2. Не добавлять задачу в Планировщик, а вручную, периодически, запускать набор (не так уж и часто сертификаты обновляются)...
3. Не пользоваться набором вообще...

Если был пропущен плановый запуск задания, то задача должна быть выполнена после включения компьютера через некоторое время.

Ув. Vanadiy777, ! В новой версии при установке русских сертификатов на Windows 7 SP1 x64 они не устанавливаются, установщик застревает и все на этом. При этом обычные сертификаты устанавливаются нормально, проверьте, пожалуйста!

kda2495,
Какая именно редакция Windows 7?
Номер версии набора тоже не плохо было бы указать... Я же не знаю какая у Вас новая...
Проверял на всех редакциях, кроме Starter... :)
Как Вы выяснили что они не установились? (мне надо воспроизвести ошибку)

Windows 7 Professional x64, версия самая последняя (22.11.1.1). Порядок такой: Выделяю Корневые сертикаты системы, Российский корневой сертификат и нажимаю Установить. Корневые устанавливаются, а на Российских висит Установка сертификатов и все на этом.

kda2495,
проверил на Windows 7 Professional x64, Вашу ошибку воспроизвести не удалось...
Проверял и на полностью чистой системе, и на системе с установленными разными браузерами (Яндекс, Google, Edge, Mozilla, Opera) - все работает и ничего не повисает...
Возможно, что-то у Вас с системой...

P.S. Попробуйте сначала скачать только Российские сертификаты, затем попробуйте установить только их.
По результатам просьба отписаться.

Стоит чистая система от MSDN плюсом установлен UpdatePack7R2 от simplix (февральская версия до всех событий), сначала ставил на эту систему октябрьскую сборку Вашей программы (22.10.14), затем попробовал установить через новую версию (22.11.1.1) и такая ошибка. На соседнем ПК все то же самое. При установке только Российских сертификатов - также зависание программы. Причем зависание именно на установке Российских сертификатов, при установке остальных - все ОК.
P.S. если использовать версию 22.10.14 - все нормально устанавливается)

kda2495,
Проверял на системе с интегрированным октябрьским UpdatePack7R2...
Спасибо, что сказали. Попробую на версии с февральским UpdatePack7R2, или вообще без него...

Просто пока не могу воспроизвести ошибку, а чтобы ее пофиксить - ее надо увидеть.
Будем искать.

А не может это быть из-за того, что в версии 22.10.16 были добавлены новые Российские сертификаты? В 22.10.14 были Российские сертификаты старой версии. Мне кажется, что если Вы попробуете сначала установить версию 22.10.14, а потом 22.11.1.1, то у Вас повторится эта же ошибка)

kda2495,
Да, это мысль... Попробую...
Но, дело в том, что даже если использовать версию 22.10.14 при подключенном интернете, то она, по умолчанию, скачает и установит последние Российские сертификаты.
Так построен алгоритм программы...

По любому, спасибо за информацию.

kda2495,
У меня тоже самое (как и у вас) с последним Набором - Обновление корневых сертификатов v.22.11.1.1. Зависание именно на установке Российских сертификатов, при установке остальных - все нормально.
Набор - Обновление корневых сертификатов, если использовать версию 22.10.14 - все нормально устанавливается.
Так, что вы не одиноки.

Nyvi,
Напишите пожалуйста редакцию Windows, которая у Вас установлена.
А также, какой браузер используете.

Vanadiy777,
Win 7 Максимальная.
Браузер Google Chrome (64 bits) 107.0.5304.88 (по умолчанию) и + про запас портабельные Cent Browser 4.3.9.248; Slimjet 36.0.5.0.

Vanadiy777, у меня всё работает . Проверял на 10 x64 , 7x86\x64

Хотя при проверке установленных в систему сертификатов по ссылке https://www.sberbank.com/ru/certificates , показывает во всех браузерах так (скрин)

Коллеги!, т.к. я не могу отловить у себя этот баг, обращаюсь к вам всем за помощью...
Предположительно, ошибка появилась после того, как я добавил функцию поддержки Mozilla Firefox...
Но это не точно...

Поэтому всех, у кого возникли проблемы с установкой Российских сертификатов, прошу проверить - с какой версии начались эти проблемы.
Уже выяснили, что версия 22.10.14 работает нормально.
Остальные версии прилагаю, а также тестовую версию программы, проверьте пожалуйста.

UpdRootsCert_22.10.16
UpdRootsCert_22.10.20
UpdRootsCert_22.10.26
UpdRootsCert_22.11.06_Test

Vanadiy777,
Проверил UpdRootsCert_22.11.06_Test, у меня ничего не изменилось.
Скрины прилагаю.

P.S. Так во всех четырех наборах, Российские сертификаты у меня не устанавливаются, только корневые без проблем устанавливаются.
https://ibb.co/Pwr2qg6
https://ibb.co/PQCxymV

Хотя, здесь последнее обновление: 2 октября 2021 г. https://letsencrypt.org/certificates/

Nyvi, Vanadiy777
Судя по второму скриншоту, проблема проявляется на этапе скачивания (загрузки) файлов российских сертификатов из интернета. Что-то блокирует доступ к ним. Это м.б. на уровне провайдера (корпоративного прокси / файервола) и выше, либо доступ ограничивает какая-то программа / настройка на вашем компьютере. Например, это м.б. Windows Firewall Control заблокировал новые соединения, поэтому обновлятор забуксовал. Что-то в этом роде. Посмотрите сами...

Ещё попробуйте скачать из браузера российские сертификаты вручную, отсюда:
1) Russian Trusted Root CA (от The Ministry of Digital Development and Communications)– корневой сертификат удостоверяющего центра — russian_trusted_root_ca.cer https://gu-st.ru/content/Other/doc/r...ed_root_ca.cer
2) Russian Trusted Sub CA – промежуточный (выпускающий TLS сертификат) — russian_trusted_sub_ca.cer https://gu-st.ru/content/Other/doc/r...ted_sub_ca.cer
Браузер даст более полную информацию о происходящем.

Как вариант, причина может быть и в том, что уважаемый Vanadiy777 добавил функцию поддержки Mozilla Firefox, и ошибка, происходит именно здесь, и программа выдаёт некорректную информацию о причине ошибки...

АВаТар,
Похоже, что ошибка вообще не в этом...
Эта функция была добавлена в набор только начиная с версии 22.11.01,
а проблемы начались с версии 22.10.16, да и то не у всех...
Учитывая то, что алгоритм загрузки и установки сертификатов начиная с версии 22.10.14 не изменялся, то все происходящее остается для меня загадкой.
Даже если происходит сбой при загрузке, то, все равно, должны были установиться сертификаты из набора.
Как пишут коллеги Nyvi и kda2495, у них этого не происходит, программа зависает, и на этом все...

Как ни пытался - воспроизвести ошибку у себя не смог, пробовал на четырех разных машинах, и на разных редакциях Windows 7.

P.S. Куда-то пропала кнопка "Полезное сообщение", не могу людей поблагодарить...

АВаТар,
Вручную, во всех имеющихся браузеров так:
https://ibb.co/C5ZBWCL , https://ibb.co/NWm5wV1 .
Повторюсь, при проверке установки сертификатов НУЦ Минцифры России на сайте https://www.sberbank.com/ru/certificates , во всех браузерах показывает, что сертификаты установлены https://ibb.co/rt4SqC2 .
P.S. Ладно, нужные / используемые мной сайты открываются, и уже хорошо.
Ребята! Я обычный, а не продвинутый пользователь.

Nyvi,
похоже, что у Вас, по какой то причине эти сайты заблокированы...
Поэтому и скачивание завершается ошибкой.
А так, как программа все-таки отработала и установила сертификаты из набора, то и в браузерах показывает что сертификаты установлены.

Попробуйте этот набор, но, скорее всего, будет тоже самое.
Больше всего интересует - происходит ли зависание программы при установке Российских сертификатов.

UpdRootsCert_22.11.06.1_Test

Уважаемый! Vanadiy777, подскажите какие изменения в версии UpdRootsCert_22.11.06.1_Test ?

Anonymous6658,
Оптимизация кода загрузки и установки Российских корневых сертификатов.

как я понимаю она еще находится в тестовой версии верно?

Anonymous6658,
Если не будет выявлено каких-либо серьезных ошибок, то эта версия будет выложена как финальный релиз.

Благодарю вас за разъяснение, и еще вопросик!, Сертификаты устанавливаются для всех пользователей в Windows или в котором
я сейчас нахожусь?

Да, для всех пользователей.
Это можно посмотреть нажав кнопку "Сертификаты"

UpdRootsCert_22.10.16 - все ОК со всеми сертификатами
UpdRootsCert_22.10.20 - все ОК со всеми сертификатами
UpdRootsCert_22.10.26 - все ОК со всеми сертификатами
UpdRootsCert_22.11.06_Test - застревает при установке Российского и все тут.
Браузер Edge стоит, последней версии.
То есть проблема, скорее всего, действительно связана с данным изменением в версии 22.11.01:
Добавлена поддержка для Mozilla Firefox при установке Российских сертификатов.
(Теперь пользователям Mozilla Firefox не нужно параметр security.enterprise_roots.enabled выставлять в true, либо устанавливать сертификаты вручную)

Можно ли попробовать новую версию, но без данного изменения? Сразу бы узнали, в этом ли дело или нет)

kda2495,
проверьте пожалуйста на предмет зависания при установке Российского

UpdRootsCert_22.11.06.1_Test

Зависает

kda2495,
Если не затруднит, проверьте еще пожалуйста эту версию.

UpdRootsCert_22.11.06.2_Test

Также зависание. Причем именно со скачиванием Российских сертификатов проблем нет, проблема именно при их установке.
При этом cmd.exe, UpdateRootsCert.exe, UpdateRootsCert.tmp и xcopy.exe в процессах есть и просто висят, пока не завершишь вручную.
Не может ли быть проблемы в том, что изначально устанавливалась версия от 14.10.2022 с Российскими сертикатами на тот момент и при попытке обновления (замены) их на более новые возникает ошибка?

Ну вот, хоть что-то проясняется...
Похоже, что xcopy все вешает, не правильно отрабатывая код выхода.

Если я все правильно рассчитал, то вот эта должна нормально отработать.
Проверьте пожалуйста.

UpdRootsCert_22.11.06.3_Test

Все работает! Супер!

kda2495,
Спасибо от души за помощь в тестировании!
По другому пока поблагодарить не могу - кнопочка куда-то спряталась...

Vanadiy777, вам нужна попробовать постичь язык delphi и начать писать проекты. Я думаю освоить его будет вам просто . Так как Inno Setup основан на Delphi .

Да это Вам большое спасибо, что стараетесь для всех нас!) Тоже пропала кнопка, видимо есть лимит на благодарности)

Vanadiy777
а зачем вы в свой проект добавляете в реестр эту строку?
сегодня разбирал ваш проект и наткнулся что после запуска она оставляет следы в реестре по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Updating Certificates
Для Чего?

Нет, при простом запуске ничего она нигде не оставляет.
Запись в реестр добавляется только в том случае если выбран чекбокс "Добавить ежемесячную задачу в Планировщик заданий",
или, если указан ключ /Tasks=AddTasks.
В этом случае программа будет установлена на компьютер. Соответственно, делается запись в "Программы и компоненты" для возможности ее удаления.

Набор установки сертификатов UpdRootsCert обновлен до версии 22.11.06.4

• Исправлена ошибка, приводившая к зависанию программы при установке Российских сертификатов на ОС Windows 7.

Ссылки на загрузку прежние

Vanadiy777
Скачал свежую версию и заметил баг небольшой
если будет время Исправьте пожалуйста
Еще раз пересмотрел ваши почти все версии и у всех так!!!
Прилагаю скрины как для сравнения с другим ПО
Большой пробел!
1. Скрин:
https://disk.yandex.ru/i/Vrd1Q0AtjhGImA

2.Скрин:
https://disk.yandex.ru/i/xtfPcdwlEXBdGA

Vanadiy777,
Спасибо, за проделанную работу!
Вроде, всё нормально.
Заснял даже на видео установку UpdRootsCert версия 22.11.06.4 https://youtu.be/c7S7XkBDyQI

Anonymous6658,
Нет, к сожалению не исправлю. Этот пробел добавляет компилятор Inno Setup.
Если, после компиляции, попробовать в редакторе ресурсов исправить секцию Version Info, то программа просто перестанет запускаться вообще.
Так что, будем считать, что это не баг, а фича. Жить не мешает и на скорость не влияет... :wink:

Delphi (Де́лфи, произносится /ˈdɘlˌfi:/[2]) — императивный, структурированный, объектно-ориентированный, высокоуровневый язык программирования со строгой статической типизацией переменных. Основная область использования — написание прикладного программного обеспечения. Этот язык программирования является диалектом языка Object Pascal. Изначально язык Object Pascal относился к несколько другому языку, который был разработан в фирме Apple в 1986 году группой Ларри Теслера[3]. Однако, начиная с Delphi 7[4], в официальных документах компании Borland название Delphi стало использоваться для обозначения языка, ранее известного как Object Pascal.
Я сам пишу проекты на delphi , а также собирал установщики на Inno Setup . Код очень похож =)

Не отвлекайтесь, языки программирования обсуждаются не в этой теме.

Подскажите кто в курсе где скачать архивные версии?
есть ли доступ к ним?
Меня интересует версия где нету в GUI интерфейсе скачка российских сертификатов!
буду вам благодарен!

Anonymous6658, Вам наверно лучше попросить Vanadiy777, чтобы он делал ещё второй вариант без российских сертификатов. Если конечно его это не затруднит.

Anonymous6658,
Наверное можно, просто в крайнем Наборе от Vanadiy777, не ставить галку напротив "Обновить Российские сертификаты" и всё.

Набор установки сертификатов UpdRootsCert 22.11.06.4 пересобран в другой кодировке.

Удален большой пробел в свойствах файла, который так не понравился коллеге Anonymous6658 :wink:

Не понятно, зачем это нужно, но добавлены Архивные версии программы.
Нужную вам версию ищите в История изменений
(Следует помнить, что в архивных версиях возможны ошибки в работе программы!)

Ссылки на архивные версии и загрузку прежние

Спасибо вам огромное!
Здоровья и всего самого наилучшего!

Vanadiy777 (По возможностям не бросайте свой проект в будущем!)

Возможно если в будущем все опять будет так же прежде до специальной военной операции то скорее всего Пункт с российскими сертификатами придется опять удалять или если ссылки для их загрузки не поменяют. И это так же касается и компании Microsoft в плане ссылок для загрузки.

Не думаю, что если поменяется обстановка, то они отдадут эту кормушку...
Значит ссылки заменим... Ну, или набор полностью переделаем... :wink:

Поживем - увидим...

Набор установки сертификатов UpdRootsCert обновлен до версии 22.11.30.4

• Добавлены актуальные корневые сертификаты (29.11.2022).

Ссылки на загрузку прежние

P.S. Можно было и не обновлять, и так все должно отработать...
Но, покуда коллеги просили не бросать проект, решил обновить, так сказать, на всякий случай...
Ну, и для фэншуя... =)

Набор установки сертификатов UpdRootsCert обновлен до версии 23.01.19.3

• Изменения в интерфейсе программы.
• Другие, незначительные исправления и улучшения.

Ссылки на загрузку прежние

P.S. Если кому-либо новый интерфейс придется не по вкусу, то можно и дальше использовать предыдущую версию 22.11.30.4...

с 94 версии Opera не даёт войти в сбербанк онлайн. Давно установил сертификаты Минцифры - с 2023 года не могу войти в сбер онлайн
Сайт сбера пишет, что сертификаты не установлены. Я установил и вижу их. Win 10 и 7 на трёх ноутбуках. Новый Microsoft Edge тоже не даёт войти. Opera 93.0.4585.37 даёт войти.

Mishel,
эту ссылку открывает?
https://www.sberbank.ru/ru/certificates

При установленных сертификатах Минцифры должна открываться в любом браузере...

Не знаю почему вам не дает зайти 94 версии Opera но мне она прекрасно даёт на Opera 94.0.4606.76 и на Microsoft Edge 109.0.1518.61 все заходит.

Подтверждаю, проверил и на Opera, и на Microsoft Edge, и Mozilla Firefox - все работает. Windows 11.

Примечание:
Если Firefox был установлен после установки набора, то Российские сертификаты нужно установить повторно.

Mishel
Антивирус какой у вас?
Он может перехватывать подключения к сайтам и подсовывать свой сертификат.

Mishel,
Явно, дело не в наборе...
Может, в этом дело?

Тоже так думаю.
Оперы у меня нет, а на Firefox все прекрасно открывается.

Проверил на Windows 7, даже на IE 11 - работает...

Коллеги, если есть какие-то проблемы - пишите, не молчите...
Ну, и вообще, пожелания...

Конечно же мои проблемы не в наборе. Здесь просто адекватно отвечают и советуют. На госуслугах отвечают "По данному затруднению необходимо обратиться в службу техподдержки банка.", хотя сертификаты с госуслуг качал. После установки набора сертификаты установились рядом, продублировались. Удалил лишнее. До 2023 года было всё нормально. У меня в 7-ке Microsoft Security Essentials, а на 10-ке встроенный дефендер. Пока на 10-ке мыкаюсь - страница http://www.sberbank.ru/ru/certificates вчера не открывалась, сегодня "Сертификаты не установлены" после поиска. Всё, что мог отключил по защите брандмауэра и антивируса - безрезультатно. Microsoft Edge от cento открывает сбер онлайн, но сертификаты со страницы http://www.sberbank.ru/ru/certificates не находит. http как-то открываются. а https - никак

Mishel,
Я не настаиваю, но как вариант...
Удалите вообще все эти сертификаты во всех учетных записях...
Перезагрузите компьютер.
Установите Российские сертификаты из набора по новой.
По результатам просьба отписаться.

После удаления-перезагрузки-установки набора-перезагрузки - Microsoft Edge от cento заработал нормально, всё увидел. Опера - так же...Сертификаты не найдены. Опера основная, всё нажитое - в ней, блин.
На чистом профиле от cento 93.0.4585.37 и чистой портативке 94.0.4606.76 заработал личный кабинет банка онлайн, а вот https://www.sberbank.ru/ru/certificates даже не открывается. И при отключенных брандмауэре и антивирусе

работает в 94.0.4606.76
Ставил с сайта Госуслуг и Опера признала не сразу, только после нескольких заходов на сайт Сбера, не знаю почему.
Если не сможете настроить, то ставьте для Сбера Яндекс или Атом, всё лучше, чем не иметь доступ к сервисам.

у меня Касперский 21.3

Ради праздного интереса попробовал зайти с CentBrowser и Serpent - без проблем, пишет - сертификаты установлены.
Потом ради хохмы в Opera 12.18 - после подтверждения в выскочившем окне - зашел. Но проверка сертификатов крутится бесконечно. Оси - WES7x64 и кастрированный LTSC..

Если отключить настройку (или сделать дефолт) opera://flags/#post-quantum-cecpq2 , то всё устаканивается. Эта настройка нужна была, чтобы кнопка vpn работала (вместе с расширением - это в теме про браузер Опера обсуждается).

Набор установки сертификатов UpdRootsCert обновлен до версии 23.03.02.1

• Добавлены актуальные корневые сертификаты (28.02.2023).

Ссылки на загрузку прежние

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Обновил свою сборку:
- добавлена установка сертификатов Минцифры и поддержка их в браузерах Mozilla Firefox, Waterfox, Pale Moon, SeaMonkey.
- добавлен ключ -aik - вызов менеджера сертификатов пользователя и компьютера.

sov44,
актуальные корневые сертификаты (28.02.2023) специально в набор не стали добавлять, или забыли просто? :)

Vanadiy777, даже не подумал об этом, т.к. сборка имеет функцию самообновления. Обновил и применил :dont-know
Но тем не менее обновил и перезалил. :)

sov44,
Честно говоря, я тоже не хотел больше обновлять набор, он, при наличии интернета и так скачает и установит самые свежие сертификаты.
Но решил немного изменить функционал кнопок и чек-боксов, заодно и сертификаты новые добавил.

Поддержку Mozilla Firefox для сертификатов Минцифры я добавил еще в версии 22.11.01. (см. "История изменений")
А вот поддержка Waterfox, Pale Moon, SeaMonkey у меня пока не предусмотрена.
Видимо опять переделывать придется...
Вам за идею спасибо. :Beer:

Vanadiy777, перекачайте сборку, в скрипте только что пару заглушек поставил, чтобы не ругался, если какого-то из браузеров нет в системе.

sov44,
Да, спасибо, забрал уже... Буду думать как это к Inno Setup без cmd через код привязать...
У меня сейчас поиск Mozilla реализован через секцию Uninstall, но Ваш вариант мне больше нравится, поэтому буду переделывать.

Коллеги, подскажите пожалуйста, на сколько актуально добавить в набор поддержку
таких браузеров, как Waterfox, Pale Moon, SeaMonkey, и нужно ли это вообще?
В принципе, добавить не сложно, но просто нужно ли?
Ни кто ни разу об этом не просил... :)

Я лично ими вообще не пользуюсь , мне хватает одного Google Chrome.

Полностью солидарен с Painkiller,
jameszero, выложил всё, как "на блюдечьке". Пользуюсь его набором, вполне устраивает.
Как правило сер-ты обновляют через 1-3 мес. Можно и самому потратить чуток времени и обновить "обновлятор".

bgvg,
Речь идет об автоматической интеграции сертификатов Минцифры РФ в Mozilla-подобные браузеры...

Вообще фиолетово эти браузеры, мне моих достаточно, Opera, Google Chrome и Edge.

Я лично ими тоже не пользуюсь, как впрочем и Edge или "оригинальным" Google Chrome, допиленная Opera 12.18 + Cent за глаза. Да и сертификаты Минцифры РФ даром не нужны.
Но если можно добавить поддержку без лишнего геморроя, то набор только выиграет.

Вот нашёл способ просмотра сертификатов установленных в систему без привлечения сторонних программ и утилит т.е. штатными средствами OS Windows 7 SP1

Для просмотра сертификатов в хранилище "Локальный компьютер" необходимо иметь права администратора
Win+R -> mmc -> OK
В меню Файл выберите "Добавить или удалить оснастку"
В окне "Добавление и удаление оснасток" выберите Сертификаты -> Добавить
В окне "Оснастка диспетчера сертификатов" выберите пункт "учетной записи компьютера" -> Далее -> Готово -> OK
Во время выхода из программы Консоль управления (MMC) нажмите "Нет"

Да, познавательно... Только зачем? Кто будет помнить последовательность действий и носить это в себе? :o
В чем смысл этих танцев?

Чем не устраивает кнопка "Сертификаты" в моем наборе, или
команда CertUpdater.exe -aik -gm2 -fm0 в наборе от sov44,
которая сразу покажет установленные сертификаты и для "Локальный компьютер", и для "Текущий пользователь" ?

Долго, проще сразу certmgr

raddy,
нет, не проще...
certmgr показывает только сертификаты - "Текущий пользователь".
"Локальный компьютер" Вы там не увидите...

Данный штатный способ известен со времени Windows 95, так что открытие так себе... :tomato2:

Народ, поскольку ссылка на моё творение есть в шапке - решил его актуализировать, учитывая все последние веяния. Теперь каждый может самостоятельно добавить свой Mozilla-подобный браузер в список совместимости с российскими сертификатами, включая и портабельные версии. Дело в том, что товарищ Vanadiy777 ничего никуда не интегрирует, а просто добавляет файлик настройки по известному пути, чтобы браузер стал юзать сертификаты, установленные в системе - вот и весь секрет.
Пример подключения Mypal, про который что-то никто не упомянул:
Ссылка на мой вариант прежняя.

san02,
Никто никогда из этого секрета не делал, это официально поддерживаемый метод.

Вопрос в другом, если браузер, по какой-либо причине, установлен в другую папку, (не по умолчанию),
то Ваш набор его просто не найдет и никуда ничего не скопирует, покуда путь жестко привязан к %SystemDrive%\Program Files\

Набор от sov44, а, также и мой набор, найдут браузер, даже если он установлен на другом разделе.

Кстати, Вы в свой набор только Mozilla Firefox добавили...

Я просто ответил тем, кто здесь писал именно про интеграцию.
И да, у меня это некий D.I.Y.-полуфабрикат, скорее ориентированный на создателей сборок. Всё просто, всё на поверхности, всё легко в отладке. А с образа устанавливаешься на автомате - все пути известны. Да, я не зря упомянул про портабельные версии - их-то так просто не найти. Я понимаю, у меня нишевой продукт, но кому-то может зайти.
Верно, потому что поддержку Mypal я добавил сразу в свой установщик Mypal. А нужные пути народ и сам впишет.. Всё индивидуально - такая концепция моего набора.

san02,
извините, коллега, но это, как раз, я сам не правильно и выразился...
Я имел ввиду автоматическое добавление поддержки этих браузеров, чтобы не надо было лезть в настройки и в ручную выставлять.
Многим хочется, чтобы с одной кнопки сразу все работало... :)

Как страшно жить... (с)
Берётся c:\Windows\System32\certmgr.msc, копируется например в c:\Windows\System32\certlm.msc (как в win8+), соответственно, certlm.msc открывается в текстовом редакторе и 88-ая строка
меняется на
всё, certlm можно использовать для просмотра сертификатов "локального компьютера".

bgvg, raddy, зачем все это, если можно нажать 1 (одну) кнопку.

О чём речь?

raddy,
Во первых, не надо себе копирайт этой фразы присваивать...
Эта фраза изначально принадлежит Ренате Литвиновой, которую в последствии спародировал Максим Галкин...
Почему Вы ее себе приписываете???
И самое главное, что каждый рядовой пользователь знает, как это сделать... Да? :wink:

Извините, ничего личного...

raddy,
Если Вы вдруг упустили суть разговора...
Речь о том, что можно нажать кнопку "Сертификаты" в моем наборе, или набрать команду
CertUpdater.exe -aik -gm2 -fm0 в наборе от sov44 и будет Вам счастье...
И Вы увидите все установленные сертификаты.

Знак копирайта не приписывает авторство цитирующему, а Литвинова пускай отдыхает...
При желтизне вечернего огня
как страшно жить и плакать втихомолку.
Четыре книжки вышло у меня.
А толку? Чичибабин Б. 1967г.

certlm в win8+ идёт из коробки, можно и оттуда скопировать, хуже не будет.

Разве я что-то упустил?

raddy, есть такое понятие, как личные удобства. Для меня они uber alles.

в большинстве случаев = через ж.

Ну, да, ну, да...
Обычному пользователю надо найти дистр win8+, скопировать оттуда certlm в свою систему, чтобы посмотреть, какие сертификаты установлены...
Хороший подход, ничего не скажешь...


vespasian,
В самую точку...

Замечательно, но стоит присматриваться к условиям задачи.
В гугле ссылок хватает - если рядом нет устройства с подходящей ОС.

А также, в гугле полно ссылок, как самостоятельно установить\обновить сертификаты...
В таком случае, Вы то что в этой теме делаете?
Хочется напомнить, что тема называется "Наборы - Обновление корневых сертификатов",
а Вы две страницы нафлудили, блеснув своей эрудицией, как сертификаты посмотреть, да еще и через ж*пу...
Извините, ничего личного...


С моей стороны был задан конкретный вопрос - есть ли смысл добавлять в набор поддержку Mozilla-подобных браузеров.

Высказал мнение.
4 моих сообщения(5 с текущим) и 9 ваших, стоит почаще в зеркало смотреть перед обвинениями других во флуде.
Он был задан ранее, и 9 ваших сообщений, последовавших после моего - его не касались, кроме последнего.

Форками не пользуюсь - что бы обсуждать, а просто для фф избыточная функция - легче security.enterprise_roots.enabled включить.

Так набор именно это и делает, чтобы вручную не включать...

Как по мне - пользователи фф обычно не нуждаются в доп.утилитах такого плана.. Да и использование фф у вас там наоборот снижается в посл.время, хотя после прекращения поддержки хромиумов на вин 7/8 - можно было ожидать какой-нибудь рост.

Не все больны версиазом и обновозависимостью.
А на счет лисы - есть разница, 5% из сотни или миллиарда.

P.S. Самое смешшное - гугля-шмугля начала продвигать свою поделку под лозунгом "Долой монополию IE".

Поскольку ММС позволяет сохранить выбранную оснастку, сделал так:
Win+R -> mmc -> OK
В меню Файл выбрать пункт Добавить или удалить оснастку
В разделе Доступные оснастки дважды щелкнуть пункт Сертификаты
Выбрать пункт Учетная запись компьютера -> Далее -> Готово -> OK
Чтобы сохранить эту консоль, в меню Файл выбрать команду Сохранить

path - C:\Windows\System32

filename - CertmgrLM.msc

В меню Файл выбрать команду Выход
-----
В дальнейшем использовать:
Win+R -> CertmgrLM.msc -> OK

Просмотр сертификатов в хранилище "Локальный компьютер" штатными средствами OS Windows 7 SP1

Несколько человек писали мне в личку с просьбой добавить автоматическую поддержку фф при установке сертификатов Минцифры.
Я ж не из головы это выдумал...

Замечательно, есть заметная целевая аудитория - воплощайте, я же не против.

Набор установки сертификатов UpdRootsCert обновлен до версии 23.03.17.3

• Добавлена поддержка сертификатов Минцифры РФ в браузерах Waterfox, Pale Moon, SeaMonkey, Mypal.
• Исправлена критическая ошибка, допущенная в версии 23.03.02.1, которая не позволяла запустить набор в "тихом" режиме с ключами командной строки.

Ссылки на загрузку прежние

Обновил сборку до v.3.4
изменено:
- дата CertUpdater определяется по дате самого позднего корневого сертификата
- ключ -air теперь скачивает корневые сертификаты, из устанавливает и обновляет пакет CertUpdater

добавлено:
- добавлена установка сертификатов Минцифры с поддержкой Mozilla Firefox и других Mozilla-подобных установочных браузеров.
- добавлен ключ -ais для тихого скачивания сертификатов, их установки в систему и обновления пакета CertUpdater
- добавлен ключ -aip для создания задания планировщику заданий по ежемесячному скачиванию и обновлению корневых сертификатов в системе
- добавлено "красок" в консоль.

Обновил сборку до v.4.0

изменено:
ключ -aie - экспорт корневых сертификатов из системы в папку MyRoots, для Windows 8.1 и старше.
ключ -aii - импорт корневых сертификатов из папки MyRoots в систему, для Windows 8.1 и старше.

Сертификаты с открытым ключом экспортируются в контейнеры *sst:
- из хранилища доверенных корневых центров сертификации локального компьютера в файл LM_RootCertBackup.sst
- из хранилища промежуточных центров сертификации текущего пользователя в файл CU_CACertBackup.sst
- из хранилища промежуточных центров сертификации локального компьютера в файл LM_CACertBackup.sst
Импорт сертификатов из контейнеров *sst в систему выполняется в обратном порядке.

Спасибо DJ Mogarych за терпение и помощь в написании сценариев powershell!

upd. Добавил проверку наличия файлов в папке MyRoots для импорта в систему.

Обновил сборку до v.4.1

добавлен:
ключ -aiv - создаёт файл TPcert.txt с данными сторонних сертификатов в системе, не входящих в Microsoft Trusted Root Certificate Program.

Процесс длительный, до 5 мин. Утилита Sigcheck Марка Руссиновича скачивает с сайта Microsoft authrootstl.cab со списком корневых сертификатов в формате Certification Trust List и сравнивает его с доверенными корневыми сертификатами в системе. Данные сертификатов, не вошедших в список Microsoft Trusted Root Certificate Program записываются в TPcert.txt рядом с CertUpdater. Каждый найденный сторонний сертификат стоит внимательно проанализировать на предмет необходимости присутствуя его в системе. Ошибочно удалённые сертификаты могут негативно сказаться на работе системы и приложений.

sov44,
так, для общего развития...
Стоит ли так усложнять?
По мне, и "экспорт корневых сертификатов из системы в папку MyRoots" не нужен...

Не, без обид... Размышления просто...

Пусть будет :)

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Коллеги, в связи с обновлением сертификатов, нужно ли мне обновить этот набор?
Или так оставить?
Просто советы хочу услышать спросить... Или уже это не нужно...

Почему бы нет? :)

Vanadiy777, Обновить, наверное, нужно. Хотя в умелых руках тех, кто на автообновление поставил в Планировщик, и так работает исправно.
Но предложение есть такое, что автообновление надо поставить на автомат, и не спрашивать об этом (больше) у пользователя, который чаще всего не шарит в теме.

АВаТар,
Позвольте здесь с Вами не согласиться...Выбор у пользователя, по любому, должен быть.
Кому-то, возможно, не нужно автообновление и добавление в Планировщик,
а набор будет "лупить" его в систему по умолчанию. Кому это понравится... Все под контролем должно быть.
А тому пользователю, который не шарит в теме, этот набор, в принципе, не нужен... ИМХО.

Vanadiy777, Так ему и автообновление тогда тоже не нужно. Получается, новые сертификаты и их же обновление всегда в комплекте идут?... И тоже ИМХО.

АВаТар,
Да, крайние, обновленные, версии набора всегда содержат самые свежие, на дату выхода набора, сертификаты.
Но, каждый раз качать новый набор совсем не обязательно, т.к. и старые версии программы нормально скачивают и устанавливают новые сертификаты.

По поводу автообновления - не все хотят устанавливать набор в систему и добавлять в Планировщик.
Некоторым удобнее просто запустить его с флешки, например...
Пришел к клиенту, обновил, и ушел до следующего раза...

Так что выбор вариантов установки и запуска нужен в любом случае.

ИМХО, W7 труп, и не стоит её реанимировать.
При этом, скажу, что 8% используемой указанной ОС в организации, никогда не требовали/ и нет требуют поползновений в указанной теме.

NickM,
Набор не только для 7-ки предназначен...
Специально же сделал раздельную установку корневых сертификатов и Минцифры РФ.
Выбрали то, что нужно, кнопку нажали и "вся спина мокрая":wink:. Или из командной строки с нужными параметрами...

Пнтяно, никому не нужно.

Ну, х.з., я бы не стал за всех утверждать так однозначно...
В свое время просили добавить, я добавил.
Значит, кому-то это все-таки было нужно... :)

Что, набор теперь выбрасывать и проект в топку?...

Вот и сиди в своей топке.
Продолжай и никого не слушай. Есть люди, которым по кайфу всё засрать.
Делай, это лучше чем гадить.

NickM,у тебя свербит в одном месте?
Не мешайся.

Не буду.

Vanadiy777, не не не, не выбрасывать, набор нужен! Я пользуюсь именно вашим установщиком, спасибо!
Мне он кажется наиболее удобным. Я думаю, я тут не один такой.

Не нужно. В хозяйстве усё пригодится....

Набор установки сертификатов UpdRootsCert обновлен до версии 23.04.30.4

• Добавлены актуальные корневые сертификаты (25.04.2023).

Ссылки на загрузку прежние

Vanadiy777, я тоже Ваш считаю наиболее удобным. И не берите в голову отпевальщиков 7-и.
В сфере IT часто лучше хорошо сохранившийся труп, чем недоделанный и вечно мутирующий младенец.

vespasian,
Из 5-и вариантов наборов каждый может выбрать тот, который ему будет наиболее удобен.
Так что, пользуйтесь, тем, что Вам больше по душе...
Остальные наборы тоже достойны уважения. ИМХО.
Но, Вам, по любому, персонально - спасибо! (Сами знаете, за что...)

Без вопросов. Все молодцы и я принципиально за возможность выбора.
Спасибо всем, кто делает любые наборы.
.

Microsoft Root Authority , тот что в roots.sst - сертификат после любой утилиты становится отозванным, а не истекшим. По этой причине много чего перестает работать ((
Приходится его удалять и импортировать прежний вручную((
Как обновить все, чтобы не затронуть именно его, пока не нашел решения.

roll77,
Что конкретно перестаёт работать и по какой причине? Постарайтесь описать более подробно трабл.
Иначе авторы пакетов не смогут Вам помочь. Если бы у форумчан были проблемы после установки
серт-ов они бы все сообщили об этом.

System Center Configuration Manager (SCCM Client) не ставится, многие доменные политики не отрабатывают.


когда отозван не работает, а когда просто просрочен, все нормально. тоже самое с Microsoft Root Certificate Authority
См скриншоты




Если же ставить повершеллом, типа



certutil.exe -generateSSTFromWU c:\PS\roots.sst
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root


то все в порядке!

Ситуация забавная. В статье Required trusted root certificates Microsoft рекомендует не удалять из системы просроченные сертификаты Microsoft Root Authority и Microsoft Root Certificate Authority, мол, ещё пригодятся, однако сама же их отзывает в очередном обновлении. В статье, к слову, речь о Windows Vista, Windows 7 и о серверах на их ядрах, но многие программные продукты, которые были разработаны под эти операционные системы можно использовать и в Windows 10. В общем, собрал исправленный RootCertUpdater, проверяйте кому интересно.

- При обычном запуске будет выполнена установка корневых сертификатов и "разблокированы" два вышеназванных (они вместо отозванных станут просроченными).
- При установке с зажатой клавишей "Shift" будет выполнена стандартная установка корневых сертификатов по версии Microsoft.

В шапку темы пока не поднимаю, требуется тестирование и ваше мнение.

Цитата jameszero:
исправленный RootCertUpdater »
Работает, спасибо!

..Осталось на боевых компах обкатать.




И прикол в том, что если ставить их вручную(тем же повершеллом) или же комп просто сам все обновляет, т.к. имеет доступ к интернету - не становится там сертификат отозванным!
А вот при обновлении любой утилитой, представленной тут, становится.


ПС. Теперь кроме правленой батником fix.cmd, где просто в реестр вставляются нужные - еще раз спасибо ТС.

Набор установки сертификатов UpdRootsCert обновлен до версии 23.05.14.2

• Исправлены проблемы с сертификатами Microsoft Root Authority и Microsoft Root Certificate Authority.

Ссылки на загрузку прежние

Да, попробуйте пожалуйста...

jameszero,
Судя по отсутствиям жалоб и пожеланий можно уже и в шапку поднять. ИМХО.
Только сразу сертификаты новые в набор добавьте, а то у Вас там сейчас февральские...

Нашел, вот... неправильное использование, и несанкционированное применение набора...
Неубиваемая Windows XP - как с ней жить в 20-х годах 21-го века?
Помимо того, что нет ссылок на первоисточник, так еще и использование не правильное...

Не надо нажимать кнопку "Загрузить" при установке сертификатов.
Надо выбрать задачи, и нажать кнопку "Установить". Все.

Vanadiy777, В каком случае надо нажимать кнопку "Загрузить"?
Я всегда её нажимал на всякий случай. А потом на "Выполнить". Проблем не было. В конце чистил рабочую папку от загруженных сертификатов.
После того, как поставил задачу в Планировщик, следить перестал. Проверять наличие свежих сертификатов в системе тоже перестал. Но похоже, всё работает.

АВаТар,
В случае, если набор не особо свежий, а Вам надо просто скачать сертификаты в папку с программой для дальнейшего использования набора в автономном режиме на другом компьютере, который не подключен к интернету.

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Прошу простить за невежество. Как часто нужно обновлять сертификаты? И, если есть ссылочка под рукой, где о них читать?

Сертификаты надо обновлять по мере их выхода.
Иногда это происходит раз в месяц, иногда бывает гораздо реже...
Можно поставить автоматическое обновление раз в месяц...
Обновлять или нет, решать Вам...

Где о них читать - ищите в интернете.

Qk3,
Поставьте мой набор (не самореклама), и забудьте.
Удаление через "Программы и компоненты".

Qk3,
Извините, коллега, предложил Вам автоматическое обновление сертификатов, совсем забыв, что Вы противник всего автоматического, и что все должно быть под Вашим контролем... :)
Набор многофункциональный и его можно использовать по разному.

Вы можете поставить чекбоксы на необходимые сертификаты и нажать кнопку "Загрузить", чтобы проверить дату последних сертификатов.
Будут загружены самые свежие сертификаты в папку с программой.
Далее, смотрите на дату загруженных сертификатов, и, если они новее Ваших, можете их установить (по желанию), или оставить все как есть.
Загруженные сертификаты из папки с программой, по завершении всех действий, можно удалить.

Vanadiy777,
Любой труд на благо сообщества почётен. За что низкий поклон всем, кто выкладывает здесь свои утилиты.
Но Вы бы создали мануал к своей проге в формате ".chm" или хотя бы ".txt", дабы не объяснять каждому юзеру такие вопросы:
В каком случае надо нажимать кнопку "Загрузить"?
Как часто нужно обновлять сертификаты?
Могу ошибаться, моё скромное мнение.

bgvg,
Пожелания учел, сам давно об этом думал, да руки все не доходили...
На днях что-нибудь придумаю.

После применения UpdRootsCert в событиях системы спам :
Срок действия сертификата для Локальная система с отпечатком 70 04 3c 28 93 39 60 37 92 da 92 8f 73 f5 50 86 60 3f bf 27 скоро истекает или уже истек.
Как можно узнать какой это сертификат?

Поискать?
Например, в powershell:

NickM,
Набрал этот код в powershell, он мне ничего не выдает. Запускал и просто, и от Админа.
В событиях системы тоже ничего нет похожего.
Получается, что у меня нет такого сертификата, и дело не в наборе?

Получается, что сертификат с таким отпечатком отсутствует в хранилище "Доверенные корневые центры сертификации" сертификатов компьютера.

Возможно, что сертификат следует поискать в других хранилищах? Здесь не уверен. Просто это бы общий посыл :unsure:

Я же вам уже отвечал на этот вопрос.

NickM,
Просто коллега Инсульт написал, что у него это происходит после применения моего набора UpdRootsCert...
Хотелось бы разобраться...

P.S. Вот и разобрались при помощи jameszero.

Обновился только disallowedcert.sst от 26.09.2023
Вот никогда такого не было и вдруг опять.

Обновили только дату файла, содержимое совпадает с disallowedcert.sst от 16.03.20021

Обновил сборку до v.5.0

добавлен:
ключ -aid для формирования списка дублей корневых сертификатов. В пути к CertUpdater.exe не должно быть кириллицы.

Спасибо DJ Mogarych за помощь с powershell!

Зачем это, и что нам это дает?

sov44,
Без обид, реально не знаю, что это... Просветите, если есть возможность, что это, и зачем...

Обнаружил у себя на ПК несколько одинаковых по номеру и по дате корневых сертификатов, незначительно отличающихся друг от друга. Как они появились - не знаю, но не суть. Просто люблю порядок. По ссылке мой список дублей сертификатов, разницу увидите. https://disk.yandex.ru/d/pEUnuvq0_qcKgA
Пусть будет одна утилита для разных задач с корневыми сертификатами.

sov44,
Получается, Вы только ищете дубли этой командой, а удалять их надо вручную? Или их удалять вообще не надо?

Совершенно верно, удалять только ручками. Машине это не доверю.

sov44,
Понял, спасибо.
Видимо, лучше этим не морочиться... А уж тем более, в автоматическом режиме...

Vanadiy777, доброго! пользуюсь вашей утилитой. но есть большая проблема.
иногда при попытке загрузить сертификат с интернета (по-моему первые 2) программа может висеть по 5 мин на одном сертификате. Можно ли добавить, в параметры командной строки, параметр ручной регулировки времени ожидания?
так же, не помешал бы, параметр запрета загрузки сертификатов из интернета при включенном интернете.
Спасибо

Saten,
Во первых, очевидно, что это у Вас какие-то проблемы с интернетом...
Во вторых, если Вы просто устанавливаете набор - то не нужно нажимать кнопку "Загрузить", программа сама все сделает.
Для этого придется всю программу переписывать.
Интернет можно отключить программно или отключить сетевой кабель на время работы программы.

Коллеги, хочу искренне извиниться за то, что сам, очевидно, невольно ввел всех в заблуждение, расположив скриншоты в такой последовательности.
Естественно, что любой нормальный человек, увидев первые скриншоты, начнет в первую очередь загружать сертификаты,
а этого делать совсем не нужно.
Кнопка "Загрузить" нужна только для загрузки сертификатов в папку с программой.

Скриншоты поправил и расположил их в нужной последовательности.

проблем нет с интернетом. во время "загрузки" свободно пользовался интернетом, да и провайдер не грешит таким.

я не загружаю сертификаты из программы, мб я неправильно выразился (хотя вроде проблема сохраняется и при обычной загрузке сертификатов из программы).
история: я пытался установить с параметрами UpdRootsCert.exe /VERYSILENT /Tasks=RootCert,RussCert,AddTasks из батника, обнаружил что долго не закрывается, полез смотреть все через ProcessExplorer и обнаружил, что сначала качался disallowedcert.sst с таймаутом в 5 мин, затем authroots.sst тоже 5 мин (первые 2 короче). ± сразу программа завершила работу.
так же использовал программу в тестовой сборке ос. обычно ставится за 5-20 сек, но может висеть минут 10.
вот поэтому я и предложил сделать параметр с таймаутом

понимаю, но можно и по другому, наверно, выставить таймаут в 0.

Вот это вообще не понятно, т.к. первым на загрузку прописан authroots.sst, а последним, как раз disallowedcert.sst.
Почему у Вас так сдвигается - пока не знаю, у себя воспроизвести этот косяк не могу, будем искать... :sorry:

пардон, месяц назад почти это обнаружил, имена уже вылетели из памяти. сейчас нашел исходную папку с тестами. не загрузились authroots.sst и updroots.sst (висели по 5 мин).
остальные: delroots.sst, disallowedcert.sst, roots.sst, russian_trusted_root_ca.cer, russian_trusted_sub_ca.cer, загрузились ± мгновенно.

Так, что же Вы голову морочите?
Это явный сбой сервера загрузки, программа здесь не причем...
А то, что висели по 5 минут, так там такой таймаут выставлен в самом коде программы.

Что-либо менять в программе пока не вижу смысла...

Коллеги, если есть другое мнение - пожалуйста выскажите пожелания.

Уважаемый, я всего лишь изложил свои наблюдении (немного попутав названия файлов). Вместо каких либо вопросов вы сделали свои выводы. Цитата выше скорее относится к вам.

это я прекрасно понимаю и предложил свое видение решение проблемы => изменение параметром таймаута (ну и второй за запрет скачивания, но я понял, что его трудно реализовать), чтобы таких проблем больше не возникало. проблема может возникнуть и у людей с полуживым интернетом. софт видит интернет, но скачать не может => 7 сертификатов по 5 мин = 35 мин.

вашу позицию я понял, спасибо что уделили время

Saten, извините, ни в коем случае не хотел обидеть...
Попробую в следующем релизе добавить запрет на скачивание.
С ручным изменением таймаута сложнее.

Vanadiy777, на ГуглДиске вашу ссылку прибили

fox_cub, да, спасибо,видел...
Прибили давно, месяца полтора назад, чего им не понравилось...
Сейчас доделаю новую версию и попробую подсунуть по тому же адресу...
Не получится - останется только Яндекс :) , или торренты.

Я так понял, по какой то причине jameszero проект более не поддерживает.
Очень жаль. Сер-ты обновились 29.11.2023.

bgvg, так в шапке же есть инструкция по самостоятельному обновлению набора)

Сейчас обновлю, для тех кто-то предпочитает авторскую сборку)

jameszero,
Сам то я могу обновить набор, не вопрос. Подумал , что Вы забросили набор, потому и написал.

Набор Ваш работает, как часики!!!
Внутри уже есть сертификаты, актуальные на дату выпуска набора, и если не будет интернета, то именно они и установятся.
При наличии интернета с качаются и установятся самые свежие сертификаты.
И для этого, достаточно поставить две галочки, и нажать кнопку "Установить".
Спасибо за Набор-программу!

Или файлообменник, знаю многих пользователей, которые НЕ пользуются торрентом, от слова совсем.

Набор от sov44
Заменил 2 файла, теперь работает даже на Windows 2000
https://files.fm/u/get2jpbv9f

Набор корневых сертификатов актуализирован.

Здравствуйте. Установил данный набор от 6 марта, думал что поможет открывать некоторые сайты как раньше, без сообщений каспера



Но не помогло. Так и продолжает появляться это окно. До нового года всё открывалось без этого предупреждения. Может у кого-то была похожая ситуация, можете подсказать что делать ?

Вот эти сайты http://filmitorrent.net http://rutor.info
Win10 x64

Судя по скриншоту, у сайта закончился или отозван сертификат. Вы можете проигнорировать сообщение или не пользоваться сайтом.
Пакеты обновлений из темы предназначены для обновления системных сертификатов Microsoft и Минцифры РФ.

s_host, Ростелеком сообщает:

s_host, а что возникает при нажатие "Посмотреть сертификат" и "Перейти на сайт"? )
Эти сайты уже давно находятся в списке РКН и блокируется или нет, все зависит от вашего провайдера.
Возможно до нового года не блокировали, а теперь решили блокировать с подменой сертификата.
Решение относительно простое, использовать VPN при открытие сайта и проверять наличие проблемы с подменой сертификат сайта.

kAZAn, многие сертификаты были по стране недавно заменены. Обновлены аппаратные комплексы защищенных каналов. Вот и вылезла проблема.

Цитата kAZAn:
а что возникает при нажатие "Посмотреть сертификат" »

С расширением Censor Tracker тоже самое.

Цитата kAZAn:
и "Перейти на сайт"? »
Переходит на сайт.

s_host, вы же видите, что сертификат выдан не тому сайту, на который вы заходите? Об этом вам и сообщает антивирус. 1. Удалить средства обхода блокировок.
или
2. Удалить антивирус.

Определитесь на какой вы стороне, на темной или на светлой) и сделайте выбор.

К теме "Обновление корневых сертификатов" данный вопрос не имеет отношения.

Поясните, надо ставить на 7, если регулярно устанавливаю накопительные обновления .msi из каталога обновлений?

sputnikk, накопительные обновления не содержат сертификатов, рекомендую обновить сертификаты одним из предложенных здесь наборов.

Раньше приходили через ЦО?

sputnikk, да, но они распространялись, как самостоятельные обновления и никогда не входили в состав накопительных.

jameszero, Спасибо. Сейчас не приходят через ЦО наcтроенный на обновления Embedded Standard 7.

После установки набора на Вин 7 ЦО наконец стал находить обновления от Embedded Standard 7. Хотя не нашёл в описании патчей требование иметь свежие сертификаты.

Проблема с веб-инсталлятором клиента GOG Galaxy. При запуске сразу вываливается "Невозможно подключиться к GOG.com. Проверьте ваше соединение с Интернетом.".

В лог-файле C:\ProgramData\GOG.com\Galaxy\logs\InstallerWebinstaller.log увидел отметку следующего вида:
Гугл на запрос этой ошибки (Не удалось создать защищенный канал SSL/TLS) вываливает довольно много ссылок, в которых упоминается о необходимости обновления корневых сертификатов (например), однако упоминаемые обновления (КВ) либо уже установлены, либо отказываются ставиться с уведомлением вида "Обновление не применимо к этому компьютеру."

Скачанный из этой темы RootCertUpdater вроде как сообщает об успешной установке этих самых корневых сертификатов, но непонятно как это можно проверить.

Как рекомендуют здесь, попробовал выполнить команду:
Но это приводит лишь к результату вида:
Попробовал трюк под названием Enable TLS 1.1 and 1.2 for WinHttp applications (отсюда), хотя в данном случае вроде как простой HTTP не используется. Но это не помогло:
Также встретился совет по созданию SchUseStrongCrypto для .NET Framework путем таких изменений в реестре:
Но все это ничего не дало, веб-инсталлятор GOG Galaxy по-прежнему пишет что нет интернета.

Грешным делом подумал, что провайдер что-то блочит, он вообще довольно лютый в этом плане, многие методы обхода блокировок Роскомнадзора, которые работают для других провайдеров, с ним не прокатывают. На скорую руку нашел параметры для создания какого-то простенького РРТР-соединения:
После подключения этого VPN-соединения стали открываться заблокированные сайты (RuTracker.org, Meduza.io), которые ранее не открывались с ошибкой ERR_CONNECTION_RESET. Но на инсталляторе GOG Galaxy это все никак не сказалось. В общем, дело не в блокировке со стороны провайдера. VPN отключил, вернулся на обычное соединение.

SFC /ScanNow пишет что все хорошо, да и в целом никаких проблем действительно не наблюдается, система функционирует нормально. Обновления ставились до тех пор, пока Simplix не заблокировал их установку в своем пакете для жителей РФ. Далее апдейты на ОС ставились лишь эпизодически и вручную, путем скачивания КВ из Microsoft Update Catalog. Последние пакеты обновлений ставились 14 февраля (номера KB5034831, KB5033899, KB5034865), если это вдруг важно.

В журнале Windows попытки запуска инсталлятора GOG Galaxy сопровождаются однотипными записями:
В подробностях ссылается на ProcessID 656, команда
показала что это lsass.exe, убить который я по понятным причинам не могу. ))) На это интернет рекомендует отключить TLS 1.2 в настройках Internet Explorer... Галочку на всякий случай снял, но проблему это не решило.

В общем, я в непонятках: вроде как всё в норме, но инсталлятор GOG Galaxy упорно считает что связи с сервером нет. Есть у кого какие мысли на сей счет?

P.S. Система Windows 7 "Ultimate" (64-бит).

Оно хочет скачать "конфиг, чего скачивать", и у него не получается.

Конфиг простой, по ссылке https://remote-config.gog.com/components/webinstaller?component_version=2.0.0 открывается браузером А на вашей системе в браузере он открывается?

Может проблема в том, что там sha256 ?



Вроде на win7 нужно отдельное обновление для 256 бит накатывать, если склероз не изменяет kb4474419 .

Хм-м... И да, и нет:
Firefox: открылся
Edge: открылся
IE 11: "Не удается отобразить эту страницу. Убедитесь, что веб-адрес https://remote-config.gog.com правильный..." Ну и т.д.

https://support.drweb.ru/sha2 - пробовал ставить указанные КВ из этой статьи. Но результат был такой же, как уже описывал выше: какие-то обновления уже числятся установленные, какие-то пишут что не подходят для этой ОС.

---
Update: сбросил IE 11 на стандартные настройки, теперь вообще пишет следующее при попытке зайти по тому линку:
Снова открыл настройки IE, но там все эти галочки (TLS 1.0, 1.1, 1.2) стоят.

Avatar-Lion, на странице загрузки веб-инсталлятора написано, что требуется Windows 8 или новее. Сертификаты в этом случае не панацея.

Попробуйте скачать полный установщик любым браузером, кроме интернет эксплорера, но работоспособность на семерке, опять же, не гарантируется.

jameszero, Да, по прямой ссылке Full-вариант установщика скачивается нормально, но только через другие браузеры. Через IE 11 не хочет.

---
Исследование вопроса с помощью яндекса и гугла показало, что IE 11 не поддерживает TLS 1.2, по крайне мере, этот тест пишет, что "Your user agent doesn't support TLS 1.2 and TLS 1.3". Ну и плюс всякие-разные обсасывания этого вопроса на просторах интернета на это намекают. Складывается впечатление, что поддержка TLS 1.2 в IE 11 в рамках Windows 7 имеется чисто для галочки, а на деле тупо не работает.

Дальнейшие поиски привели к ProxHTTPSProxy. Правда, оно делалось для работы под WinXP, чтобы на ней корректно отображались современные сайты, но и для Win7 тоже вроде как подходит. После запуска ProxHTTPSProxy_PSwitch.exe из папки с программой браузер IE 11 успешно прошел упомянутый выше тест на TLS 1.2 (Your user agent has good protocol support!). Также заработали все прошлые варианты и ссылки: установка через веб-установщик, получение json-конфига по прямой ссылке через IE 11, скачивание Full-варианта установщика через все тот же IE 11.

Правда, сам по себе клиент GOG Galaxy, оказывается, не умеет работать с прокси, поэтому отвалилась внутриигровая статистика... Жесть, короче. Не ожидал такой подставы от GOG, который вроде как изначально был рассчитан именно на запуск всяких старых игр на современных компьютерах, а по факту имеем страшный гемор. Конечно, Win7 не новая система, но все равно странно видеть подобное.

Набор корневых сертификатов актуализирован.

Наконец, последние корневые сертификаты Microsoft для Windows 7 необходимо установить в хранилище сертификатов доверенного корневого центра локального компьютера. Пакетный файл для автоматической установки всех сертификатов и списков отзыва можно найти здесь:
Последнее обновление: 10 апреля 2024 г.
https://hackandpwn.com/windows-7-esu-patching/

2018-08-02 Сертификат MicRooCerAut2011_2011_03_22.crt
2018-08-02 Сертификат Корневой центр сертификации продуктов Microsoft ECC 2018.crt
2018-08-02 Сертификат Корневой центр сертификации Microsoft ECC TS 2018.crt
2018-08-02 Сертификат Корневой центр сертификации меток времени Microsoft 2014.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft ECC 2017.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft EV ECC 2017.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft RSA 2017.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft EV RSA 2017.crt
2024-01-24 Список отзыва Корневой центр сертификации меток времени Microsoft 2014.crl
14.02.2024 Список отзыва Корневой центр сертификации Microsoft ECC 2017.crl
04.03.2024 Список отзыва MicRooCerAut_2010-06-23.crl
2024-03-12 Список отзыва Корневой центр сертификации продуктов Microsoft ECC 2018.crl
2024-03-12 Список отзыва Корневой центр сертификации Microsoft ECC TS 2018.crl
2024-03-21 Список отзыва Корневой центр сертификации Microsoft RSA 2017.crl
2024-03-22 Список отзыва Корневой центр сертификации Microsoft EV ECC 2017.crl
2024-03-22 Список отзыва Корневой центр сертификации Microsoft EV RSA 2017.crl

Файл можно скачать здесь:
https://www.upload.ee/files/16529138/08_Certs.zip.html

Поддержка работы сайтов с российскими сертификаторами.
Для доступа на какие сайты нужны российскии сертификаты?
Сертификаты безопасности Минцифры нужны для посещения сайтов органов власти, банков и ряда других организаций. Постепенно планируется внедрить их на большинство российских сайтов
https://www.gosuslugi.ru/crt

Сертификаты обновились 29.05.2024

Набор корневых сертификатов актуализирован.

новее не будет?

Во-первых можно скачать свежие сертификаты при установке.
Во-вторых в шапке написан способ самостоятельного создания обновлённого пакета.

После 29-05-2024 не было обновлений сертификатов.

Спасибо. Истёкшие сертификаты должны удалится сами? У меня на Вин 7 много старых и которым осталось до 30 дней