Перестали открываться сайты на старом компьютере с Windows XP, что делать?

Автор: | 01.10.2021

Внимание:

Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.

Дисклеймер:

Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.

 

 

 

Эпиграф:

Инженер не должен все знать. Он должен знать, где найти решение.

 

Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.

Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.

Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение “Ваше подключение не является приватным”. Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране “Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря”. Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?

На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.

Почему перестали открываться сайты на старых компьютерах и смартфонах?

Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами.  В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.

Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.

Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.

Что делать, если сайт не открывается на старом компьютере или телефоне?

Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно  далеко не каждому.

Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.

К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.

Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.

Не совсем по теме

К слову сказать, в качестве небольшого отступления, на тех предприятиях, где я занимаюсь обслуживанием компьютерной техники, на данный момент использование компьютеров более чем 10-летней давности доходит местами до 50%, из них почти половина работает под управлением Windows XP. И это если не считать компьютеры в составе технологического оборудования на производстве. В целом, в моей практике, приходится сталкиваться примерно с 20-30% компьютеров под управлением Windows XP, 50-70% – Windows 7 и 20-30% – Windows 10. Иногда встречаются Windows 8 и Windows 8.1, а вот Mac и Linux – реально единицы.

[свернуть]

Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?

К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.

Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.

Ручное обновление корневых сертификатов

Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:

  • Android 7.1.1 и старше;
  • Mozilla Firefox до 50.0;
  • MacOS 10.12.0 и старше;
  • Windows XP (включая Service Pack 3);
  • iOS-устройств до версии iOS 10;
  • OpenSSL 1.0.2 и ниже;
  • Ubuntu до версии 16.04;
  • Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Установка корневого сертификата в ОС Windows, iOS, Linux, Android

Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.

Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.

Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.

В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».

В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.

Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.

Обновление всех сертификатов безопасности на старых версиях Windows

Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.

В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.

Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.

Быстрый и простой способ обновления сертификатов Windows

Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.

Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.

Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP,  Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:

  • rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
  • rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.

Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.

Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.

Как еще можно открывать сайты на старых компьютерах и смартфонах?

В отличие от других браузеров, Mozilla Firefox хранит сертификаты в собственном хранилище, не используя для этого хранилище операционной системы. Поэтому на старых устройствах, особенно на смартфонах с Android 5.0 и старше, Let’s Encrypt рекомендует установить браузер Firefox. Что касается Windows XP, то актуальная версия Firefox не поддерживает эту систему, поэтому стоит попробовать скачать и установить более старую версию этого браузера.

Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.

 

Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!

Share

Перестали открываться сайты на старом компьютере с Windows XP, что делать?: 28 комментариев

  1. Николай

    Огромное спасибо. Ваши рекомендации помогли. Сайты в Яндексе снова открываются.

  2. Джон

    Спасибо! Теперь все понятно. Написано человеческим языком. Помогло и, вероятно, поможет при подобных же проблемах. Скачать сертификат (файл isrgrootx1.der) можно и с официального сайта:

    https://letsencrypt.org/certificates/
    https://letsencrypt.org/ru/certificates/

    Без проблем устанавливается описанными в статье методами.

    Засада только в том, что при наличии проблемы с этим сертификатом на официальный сайт (поскольку он https://…) зайти невозможно из-за проблем с сертификатом. ) Странно, что американцы из ISRG об этом не догадываются. )

  3. александр

    спасибо красавчик. Реально рабочий метод + простой

    1. Сергей

      Установить браузер FireFox, скачать и установить сертификат, затем FireFox можно удалить.

  4. Александр

    Спасибо Вам, Бетмен, спешащий на помощь. С компьютера с W10 переслал по почте два самораспаковывающихся архива, рекомендованных Вами, на компьютер с WXP, щелкнул два раза по каждому архиву и случилось чудо – сайты заработали. Еще раз огромное спасибо!

  5. Fedor

    Добрый день.. Скачал два архива и при распаковки антивирус назвал их… Вирус.. Dll и запретил распаковки… Что можно сделать?

    1. RY Автор записи

      Оба этих архива содержат только содержимое, скачанное с официального сайта Microsoft. Архивы можно не запускать на выполнение, а распаковать в любую папку и проверить каждый подозрительный файл (щелкните правой кнопкой мыши на архиве и выберите подходящий пункт меню, например “Извлечь файлы…”). Для онлайн-проверки можно воспользоваться сервисом Virustotal. DLL в архиве — это advpack.dll разработки Microsoft, версия файла 7.00.5489.0, размер 132096 байт. При проверке на Virustotal ни один из 65 используемых сервисом антивирусов не определяет в этом файле ничего подозрительного. Скорее всего, эвристический анализатор вашего антивируса реагирует на не совсем обычное поведение самораспаковывающегося архива: архив не имеет подписи издателя, при этом запускает DLL и производит действия с системными файлами. Так что на время распаковки архивов можно просто временно отключить антивирус.

      1. Alex

        при уставке сертификата отключать антивирус? это шутка чтоли?)))

  6. Благодарный

    У меня всё ещё XP – первый способ с ручной установкой сертификата не помог.
    А вот способ с двумя самораспаковывающимися архивами работает!! (Хотя антивирус и ругается)

  7. Роман

    ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО АВТОРУ! СПОСОБ С ДВУМЯ АРХИВАМИ РАБОТАЕТ НА WIN XP, ПОДТВЕРЖДАЮ!

  8. Дарья

    Огромное СПАСИБО!!! Я уже и не надеялась на чудо, но все оказалось быстро, просто и без обмана. Неужели в наше время такое еще бывает? :)) на ХР все заработало!

  9. Азамат

    Спасибо, добрый человек.
    Мне нужно было реанимировать старую машину, к которой подключено старое оборудование с драйверами только для XP.
    Читая первую часть текста, совсем потерял надежду,
    а потом ррррраз – запустить эти два файл и всё будет хорошо.
    И таки да, хорошо 🙂
    Большое спасибо!

  10. Елена

    Ничего не сработало ;( Скачала в отдельную папку, брандмауер отключила, чтобы не мешал, распаковала, запустила, выдает ошибку.

    1. RY Автор записи

      Давайте попробуем разобраться по-порядку.
      Брэндмауэр отключать не обязательно – он никак не влияет на обновление сертификатов. А вот антивирус может или ругнуться, или даже молча заблокировать обновление.
      Распаковывать скачанные архивы тоже не нужно – они самораспаковывающиеся, то есть при запуске происходит “тихая” распаковка во временную папку и запуск нужной программы из архива. С распаковкой тоже должно сработать, но непонятно, какой именно файл вы запускаете после распаковки архива.
      Запускать скачанные файлы нужно от имени администратора (на Windows XP – от имени пользователя с правами администратора). То есть правой кнопкой мыши с выбором соответствующего пункта.
      После запуска, если все нормально отработало, никаких сообщений быть не должно. Чтобы увидеть результат, надо только перезапустить браузер (если он был открыт) и проверить на любом из сайтов, которые не открывались из-за ошибки сертификата.
      Вы пишете, что получаете сообщение об ошибке. Непонятно, что за сообщение и в какой момент вы его получаете. Если напишете здесь сам текст сообщения, это может помочь разобраться с проблемой.
      Если есть вопросы, можете писать здесь или на почту.

  11. Андрей

    Можно перевыложить самораспаковывающиеся архивы? не открываются ссылки. Спасибо

    1. RY Автор записи

      Исправил, ссылки поменялись из-за переноса сайта на новый домен

  12. Константин

    не получилось (((, фокс по прежнему ругается

  13. Константин

    cделал по написанному, но не получилось, фокс по прежнему ругается

  14. Виктор

    Скачайте просто браузер, совместимый со всеми нюансами XP. Я скачал MyPal. То что хотел открыть, то открылось

  15. Александр

    После установки сертификатов в XP sp3 по-прежнему при загрузке некоторых сайтов пустая страница в Firefox 52.9 и Mypal, в IE – не может отобразить эту страницу. Не исключаю проблему не с сертификатами.

  16. Андрей

    не открываются госуслуги, пробуем через разные браузеры

  17. Роман

    Фигня. Давно мучаюсь. Просто установите более свежую винду 7 64битную. Добавил планку на 2 гига и летает дальше. Почистил комп, поменял термопасту и еще лет десять пропаше т

  18. Павел

    Спасибо огромное!!!! Отличные способы! С Вашей помощью удалось оживить старого франкинштейна на работе!))))

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *