Информация об отзыве сертификата безопасности этого сайта недоступна для Hamachi

Обновлено: 07.07.2024

ZeroTier — это интеллектуальный Ethernet-коммутатор для планеты Земля.

Это распределенный сетевой гипервизор, построенный поверх криптографически защищенной глобальной одноранговой сети. Он обеспечивает расширенные возможности виртуализации сети и управления наравне с корпоративным коммутатором SDN, но в локальной и глобальной сетях и подключает практически любые приложения и устройства.

В этом руководстве описывается конструкция и работа ZeroTier и связанных с ним служб, приложений и библиотек. Целевая аудитория включает ИТ-специалистов, сетевых администраторов, экспертов по информационной безопасности и разработчиков.

Первый раздел (2) этого руководства объясняет конструкцию и работу ZeroTier на высоком уровне и написан для тех, кто имеет хотя бы промежуточные знания в таких темах, как сети TCP/IP и Ethernet. Большинству пользователей читать ее не обязательно, но понимание того, как все работает в деталях, помогает прояснить все остальное и очень помогает при устранении неполадок, если что-то пойдет не так.

Остальные разделы более конкретно посвящены развертыванию и администрированию.

Сетевой гипервизор ZeroTier (в настоящее время находится в узле/подпапке git-репозитория ZeroTierOne) — это автономный механизм виртуализации сети, который реализует уровень виртуализации Ethernet, аналогичный VXLAN, поверх глобальной зашифрованной одноранговой сети.< /p>

Протокол ZeroTier является оригинальным, хотя его аспекты аналогичны VXLAN и IPSec. Он имеет два концептуально отдельных, но тесно связанных уровня в смысле модели OSI: VL1 и VL2. VL1 — это лежащий в основе одноранговый транспортный уровень, «виртуальный провод», а VL2 — это эмулированный уровень Ethernet, который предоставляет операционным системам и приложениям знакомую среду связи.

VL1: одноранговая сеть ZeroTier

Глобальному центру обработки данных требуется глобальный коммутационный шкаф.

В обычных сетях под L1 (уровень 1 OSI) понимаются фактические кабели CAT5/CAT6 или беспроводные радиоканалы, по которым передаются данные, и микросхемы физических приемопередатчиков, которые модулируют и демодулируют их. VL1 — это одноранговая сеть, которая делает то же самое, используя шифрование, аутентификацию и множество сетевых приемов для динамического создания виртуальных проводов по мере необходимости.

VL1 не требует конфигурации. Пользователь может запустить новый узел ZeroTier без необходимости писать файлы конфигурации или указывать IP-адреса других узлов. Он также разработан, чтобы быть быстрым. Любые два устройства в мире должны иметь возможность находить друг друга и обмениваться данными почти мгновенно.

Для этого VL1 организован как DNS. В основе сети лежит набор постоянно присутствующих корневых серверов, роль которых аналогична роли корневых серверов имен DNS. Корни работают с тем же программным обеспечением, что и обычные конечные точки, но находятся в быстрых стабильных местах в сети и обозначаются как таковые по мировому определению. Определения мира бывают двух видов: планета и одна или несколько лун. Протокол включает в себя безопасный механизм, позволяющий автоматически обновлять определения мира при изменении IP-адресов корневых серверов или адресов ZeroTier.

Существует только одна планета. Корневые серверы Земли предоставляются ZeroTier, Inc. как бесплатная услуга. В настоящее время существует двенадцать корневых серверов, организованных в два кластера по шесть участников, распределенных по всем основным континентам и нескольким сетевым провайдерам. Почти у каждого в мире есть такая сеть с задержкой менее 100 мс от их местоположения.

Узел может вращаться вокруг любого количества лун. Луна — это просто удобный способ добавить в пул определяемые пользователем корневые серверы. Пользователи могут создавать луны, чтобы уменьшить зависимость от инфраструктуры ZeroTier, Inc. или расположить корневые серверы ближе для повышения производительности. Для локального использования SDN кластер корневых серверов может быть расположен внутри здания или центра обработки данных, чтобы ZeroTier мог продолжать нормально работать в случае потери подключения к Интернету.

Узлы начинаются без прямых связей друг с другом, только вверх по течению от корней (планеты и луны). Каждый одноранговый узел на VL1 имеет глобально уникальный 40-битный (10 шестнадцатеричных цифр) адрес ZeroTier, но, в отличие от IP-адресов, это непрозрачные криптографические идентификаторы, которые не кодируют информацию о маршрутизации. Чтобы связаться с одноранговыми узлами, сначала отправьте пакеты «вверх» по дереву, и по мере того, как эти пакеты проходят через сеть, они инициируют оппортунистическое создание прямых ссылок по пути. Дерево постоянно пытается «свернуть себя», чтобы оптимизировать себя в соответствии со структурой трафика, который оно несет.

Настройка однорангового соединения выглядит следующим образом:

A хочет отправить пакет B, но, поскольку у него нет прямого пути, он отправляет его вверх по течению к R (корню).
Если у R есть прямая ссылка на B, он перенаправляет пакет туда. В противном случае он отправляет пакет вверх по течению, пока не будут достигнуты планетарные корни.Планетарные корни знают обо всех узлах, поэтому в конечном итоге пакет достигнет B, если B находится в сети.
R также отправляет сообщение с именем рандеву в A, содержащее подсказки о том, как он может достичь B. Тем временем корень, который пересылает пакет в B, отправляет рандеву, информируя B, как он может достичь А.
A и B получают свои сообщения о рандеву и пытаются отправить тестовые сообщения друг другу, возможно, выполняя пробивку дыр во всех NAT или брандмауэрах с отслеживанием состояния, которые оказываются на пути. Если это работает, устанавливается прямая связь, и пакетам больше не нужно идти по живописному маршруту.

Поскольку корневые узлы пересылают пакеты, A и B могут мгновенно связаться друг с другом. Затем A и B пытаются установить прямое одноранговое соединение. Если это удается, это приводит к более быстрому каналу с меньшей задержкой. Мы называем это подготовкой ссылки, инициируемой транспортом, поскольку именно пересылка самого пакета инициирует попытку прямого подключения в одноранговой сети.

VL1 никогда не сдается. Если прямой путь не может быть установлен, связь может продолжаться через (более медленную) ретрансляцию. Попытки прямого подключения продолжаются вечно на периодической основе. VL1 также имеет другие функции для установления прямого подключения, включая обнаружение одноранговых узлов в локальной сети, предсказание портов для обхода симметричных NAT IPv4 и явное сопоставление портов с использованием uPnP и/или NAT-PMP, если они доступны в локальной физической локальной сети.

Каждый узел уникально идентифицируется на VL1 40-битным (10 шестнадцатеричных цифр) адресом ZeroTier. Этот адрес вычисляется из общедоступной части пары открытый/закрытый ключ. Адрес узла, открытый ключ и закрытый ключ вместе составляют его личность.

На устройствах с ZeroTier One идентификатор узла хранится в файлах identity.public и identity.secret в домашнем каталоге службы.

При первом запуске ZeroTier создается новое удостоверение. Затем он пытается объявить его вверх по течению в сети. В очень маловероятном случае, если будет использован 40-битный уникальный адрес удостоверения, он отбрасывается и создается новый.

Удостоверения запрашиваются в порядке живой очереди, и в настоящее время срок их действия с планетарных корней истекает через 60 дней бездействия. Если давно бездействующее устройство вернется, оно может восстановить свою личность, если только его адрес не был захвачен за это время (опять же, маловероятно).

Алгоритм формирования адресов, используемый для вычисления адресов из открытых ключей, налагает барьер вычислительных затрат против преднамеренного создания коллизии. В настоящее время для этого потребуется около 10 000 процессоро-лет (при условии, например, что ядро Intel с частотой 3 ГГц). Это дорого, но не невозможно, но это только первая линия защиты. После создания коллизии злоумышленник должен будет скомпрометировать все вышестоящие узлы, сетевые контроллеры и все остальное, что недавно связывалось с целевым узлом, и заменить их кэшированные идентификаторы.

Адреса нулевого уровня после их объявления и заявления являются очень безопасным методом уникальной идентификации.

Когда узел пытается отправить сообщение другому узлу, идентификационные данные которого не кэшированы, он отправляет запрос whois вверх по течению в корневой узел. Корни обеспечивают авторитетный кэш идентификации.

Если вы мало что знаете о криптографии, можете смело пропустить этот раздел. TL;DR: пакеты сквозно зашифрованы и не могут быть прочитаны корневыми или кем-либо еще, и мы используем современное 256-битное шифрование способами, рекомендованными профессиональными криптографами, которые его создали.

Асимметричное шифрование с открытым ключом — Curve25519/Ed25519, вариант 256-битной эллиптической кривой.

Каждый пакет VL1 шифруется от начала до конца с использованием (в текущей версии) 256-битного Salsa20 и аутентифицируется с использованием алгоритма аутентификации сообщений Poly1305 (MAC). MAC-адрес вычисляется после шифрования (зашифровать-затем-MAC), а используемая композиция шифр/MAC идентична эталонной реализации NaCl.

На сегодняшний день мы не реализуем прямую секретность или другие криптографические функции с отслеживанием состояния в VL1. Мы делаем это не ради простоты, надежности и объема кода, а также потому, что частое изменение состояния значительно усложняет реализацию таких функций, как кластеризация и отказоустойчивость. См. наше обсуждение на GitHub.

В будущем мы можем внедрить прямую секретность. Для тех, кто сегодня хочет такой уровень безопасности, мы рекомендуем использовать другие криптографические протоколы, такие как SSL или SSH поверх ZeroTier. Эти протоколы обычно реализуют прямую секретность, но их использование поверх ZeroTier также обеспечивает вторичное преимущество глубокоэшелонированной защиты. Большая часть криптографии скомпрометирована не недостатком в шифровании, а ошибками в реализации. Если вы используете два защищенных транспорта, вероятность обнаружения критической ошибки в обоих одновременно очень мала. Накладные расходы ЦП при двойном шифровании несущественны для большинства рабочих нагрузок.

Для поддержки использования ZeroTier в качестве высокопроизводительного протокола SDN/NFV в физически безопасных сетях протокол поддерживает функцию, называемую доверенные пути. Можно настроить все устройства ZeroTier в данной сети так, чтобы они пропускали шифрование и аутентификацию для трафика по назначенному физическому пути. Это может заметно сократить использование ЦП в сценариях с высоким трафиком, но за счет потери практически всей безопасности транспорта.

Доверенные пути не препятствуют обмену данными с устройствами в других местах, так как трафик по другим путям будет шифроваться и аутентифицироваться обычным образом.

Мы не рекомендуем использовать эту функцию, если вам действительно не нужна производительность и вы не знаете, что делаете. Мы также рекомендуем тщательно подумать, прежде чем отключать безопасность транспорта в частной облачной сети. Крупные облачные провайдеры, такие как Amazon и Azure, как правило, обеспечивают хорошую сегрегацию сети, но многие менее дорогостоящие провайдеры предлагают частные сети, которые являются «партийными линиями» и ненамного более безопасны, чем открытый Интернет.

Начиная с версии 1.4.0 (скоро) ZeroTier позволяет одноранговым узлам обмениваться данными по нескольким физическим путям одновременно и автоматически распределяет нагрузку в соответствии с мощностью пути. Одноранговый узел, поддерживающий многолучевую логику, будет возвращаться к классическому поведению без многолучевости при общении с одноранговыми узлами, которые ее не поддерживают или у которых она не включена. Эта функция реализуется с помощью пассивных и активных методов измерения, и все дополнительные накладные расходы на трафик прекращаются, когда прекращается пользовательский трафик, а когда они не используются, накладные расходы на окружающий трафик отсутствуют.

В настоящее время поддерживаются два режима: случайный и пропорционально сбалансированный. Первый будет отправлять трафик по любым обнаруженным путям, и, хотя балансировка не выполняется, он остановит отправку трафика по пути, если срок его действия истечет. Последний будет постоянно измерять качество каждого пути и распределять трафик по ним пропорционально наблюдаемой стабильности и производительности.

Качество (особенно качество по сравнению с другими путями) — это значение, которое мы используем для определения того, как распределять трафик по путям. Он состоит из двух подколичеств: стабильности и производительности. Эти отдельные величины важны для будущих усилий по обеспечению качества обслуживания (QoS). Например, мы можем захотеть сопоставить определенные типы трафика с путями с высокой стабильностью, когда это может не требовать высокой производительности (или наоборот). Эти количества определяются следующим образом:

Стабильность. По сути, это мера того, насколько хорошо себя ведет путь. А именно, как его задержка меняется с течением времени, как изменяется с течением времени пропускная способность, коэффициент потери пакетов и коэффициент ошибок пакетов.
Производительность. Это просто мера того, сколько трафика эта ссылка способна передать.

ПРИМЕЧАНИЕ. Приведенные выше величины представляют собой сумму ряда взвешенных вкладов по более фундаментальным показателям:

Задержкамиллисекунды, [0, 2\^16]: сколько времени требуется пакету для перемещения от одного узла к другому.
Отклонение задержки пакетов (PDV)миллисекунды, [0, 2\^16]: изменение задержки между двумя узлами с течением времени. Это очень похоже на концепцию джиттера, но не совсем так.
Коэффициент нарушения пропускной способности (TDC)безразмерный, [0, 1]: изменение наблюдаемой пропускной способности пути со временем. Это может быть результатом ограничения трафика или перегрузки.
Коэффициент потери пакетов (PLR)безразмерный, [0, 1]: процент потерянных пакетов.
Коэффициент ошибок в пакетах (PER)безразмерный, [0, 1]: процент пакетов, которые не прошли аутентификацию/проверку CRC.
Максимальная пропускная способностьбайт в секунду, [0, 2\^64]: максимальное количество наблюдаемых байтов, отправленных по пути в течение одной секунды. Это значение будет постепенно уменьшаться со временем, так что оно будет действовать как резиновая лента вокруг трубки.

Несмотря на то, что для использования этой функции не важно понимать следующее, она здесь на случай, если кому-то интересно:

VERB_ACK: подтверждение получения серии последних пакетов от другого партнера. Это используется для расчета относительных значений пропускной способности и обнаружения потери пакетов. Все типы пакетов, за исключением VERB_ACK и VERB_QOS_MEASUREMENT, учитываются в этом значении.

После получения этого пакета локальный одноранговый узел проверит, что удаленный одноранговый узел получил правильное количество байтов. Если эти значения не совпадают, это может указывать на потерю пакетов. Кроме того, локальному узлу известен интервал времени, прошедший с момента последнего полученного ACK. С помощью этой информации он может вычислить приблизительную оценку текущей пропускной способности. Оно отправляется с частотой один раз в 250 мс .

ГЛАГОЛQOSMEASUREMENT: пакет, содержащий временные измерения, полезные для оценки качества пути. Состоит из списка пар для произвольного набора последних пакетов. Это используется для выборки задержек и отклонений задержки пакетов.

Количество возможных записей на пакет QoS: (1400 * 8) / 72 = 155 . Этот пакет следует отправлять очень редко, так как он может быть несколько большим, если соединение перегружено. В будущих версиях может использоваться таблица Блума для вероятностного определения этих значений гораздо более экономичным способом.

Примечание. Термин «внутреннее время пребывания пакета» является несколько неправильным, поскольку он представляет собой меру времени между получением пакета и временем исходящего отслеживаемого пакета QoS. Оно отправляется с частотой раз в секунду .

Обмен данными по нескольким путям включается установкой multipathMode в local.conf . Перезапустите ZeroTier, и он автоматически обнаружит доступные физические интерфейсы и начнет распределение по всем путям.

0 = ZT_MULTIPATH_NONE: Нет активного многолучевости. Трафик просто отправляется по самому сильному пути. Этот режим автоматически переключается на следующий по надежности путь в случае отказа пути.
1 = ZT_MULTIPATH_RANDOM: трафик случайным образом распределяется между всеми активными путями.
2 = ZT_MULTIPATH_PROPORTIONALLY_BALANCED: трафик распределяется по всем активным путям пропорционально их наблюдаемой стабильности и производительности (качеству). Перестанет отправлять трафик по ссылкам, которые кажутся устаревшими.

Использование необработанного формата вывода JSON команды состояния zerotier-cli -j status даст что-то вроде следующего, который содержит запись для каждого однорангового узла, совокупные свойства ссылки и индивидуальные свойства пути. В этом примере показано примерно равномерное распределение трафика по путям на отдельных физических интерфейсах.

Некоторые пользователи получают сообщение об ошибке «информация об отзыве сертификата безопасности для этого сайта недоступна» в виде предупреждения системы безопасности при посещении защищенных веб-сайтов. По сути, это сообщение означает, что сертификат безопасности для рассматриваемого веб-сайта недоступен, отозван или обнаружен в списке отзыва сертификатов (CRL).

Нажав кнопку «Просмотреть сертификат», пользователи могут проверить сертификат, связанный с защищенным доменом или веб-страницей.

Что такое сертификат безопасности?

Сертификат работает аналогично физическому документу. Он устанавливает доверие между браузером и веб-сайтами, которые вы посещаете. Список отозванных сертификатов (CRL) — это список отозванных сертификатов, который используется для определения того, является ли текущий сертификат доверенным. Если сертификат веб-сайта, который вы пытаетесь посетить, появляется в списке CRL, это означает, что он был отозван и эмитент больше не доверяет ему. Есть много причин, почему это могло произойти. Вот лишь некоторые из них:

Если вы в настоящее время боретесь с этой проблемой, вам будет приятно узнать, что нам удалось определить несколько потенциальных решений, которые помогли пользователям в той же ситуации решить проблему. Используйте каждый метод по порядку, пока не найдете исправление, которое устраняет ошибку «информация об отзыве сертификата безопасности для этого сайта недоступна».

Способ 1. Установка правильной даты и времени

Для этого щелкните правой кнопкой мыши время в правом нижнем углу и выберите "Настроить дату/время".

Установив правильное время и дату, перезагрузите компьютер и посмотрите, устранена ли проблема. Если вы по-прежнему видите ошибку «информация об отзыве сертификата безопасности для этого сайта недоступна» при доступе к надежному веб-сайту, перейдите к способу 2.

Способ 2. Устранение потенциальных конфликтов приложений

Если неправильное время и дата не были причиной вашей проблемы, давайте посмотрим, установили ли вы приложение для обеспечения безопасности, о котором известно, что оно вызывает конфликт такого рода. Известно, что McAfee Web Advisor и Browser Defender могут мешать сертификатам безопасности.

Единственный способ правильно определить, вызывает ли приложение безопасности ошибку «информация об отзыве сертификата безопасности для этого сайта недоступна», — это удалить программное обеспечение с вашего компьютера.

Если приложение автономное, откройте окно «Выполнить» (клавиша Windows + R), введите «appwiz.cpl» и нажмите Enter, чтобы открыть «Программы и компоненты». Затем просто щелкните программу правой кнопкой мыши и выберите "Удалить".

Если у вас есть приложение безопасности типа расширения, откройте браузер и удалите соответствующее расширение/надстройку/плагин в настройках браузера.

Способ 3. Обновление среды Java

Еще одна возможная причина появления ошибки «Информация об отзыве сертификата безопасности для этого сайта недоступна» — это устаревшая версия Java.Как оказалось, некоторые старые версии Java могут не иметь доступа к веб-сайту, на котором хранится сертификат. В этом случае решением будет обновление Java до последней версии.

Для этого перейдите по этой ссылке (здесь) и нажмите «Бесплатная загрузка Java», чтобы загрузить установщик Java. Откройте программу установки и следуйте инструкциям на экране, чтобы установить последнюю версию Java. После завершения установки перезагрузите систему вручную, если окно установки не предложит это.

Если вас по-прежнему беспокоит ошибка «Информация об отзыве сертификата безопасности для этого сайта недоступна», перейдите к последнему способу.

Способ 4. Отключение проверки отзыва сертификата сервера

Хотя этот метод определенно удалит сообщение об ошибке, это эквивалентно извлечению батареи из детектора дыма, чтобы предотвратить его срабатывание. Выполнение приведенных ниже действий позволит удалить сообщение об ошибке «Информация об отзыве сертификата безопасности для этого сайта недоступна», но это лишь симптом проблемы.

Но если вы решитесь на это, вот краткое руководство по всему этому:

Нажмите клавишу Windows + R, чтобы открыть окно «Выполнить». Введите «inetcpl.cpl», чтобы открыть свойства Интернета.
В окне "Свойства обозревателя" перейдите на вкладку "Дополнительно" и прокрутите до пункта "Безопасность". Оказавшись там, снимите флажок «Проверить отзыв сертификата издателя» и нажмите «Применить», чтобы подтвердить изменения.
Перезагрузите систему. Сообщение об ошибке «Информация об отзыве сертификата безопасности для этого сайта недоступна» должно быть удалено после перезапуска.

Пользователь начинает получать следующую ошибку в Internet Explorer при отказе от сертификата SSL:

"Информация об отзыве сертификата безопасности для этого сайта недоступна. Продолжить?

Да\Нет\Просмотреть сертификат"

Причина

Это может означать, что когда клиент в Internet Explorer получает сертификат, он отправляет запрос OCSP (онлайн-протокол статуса сертификата), чтобы проверить, был ли сертификат отозван на сервер OCSP. Если браузер Internet Explorer не может определить, был ли он отозван, и браузер настроен на ожидание ответа OCSP, он выводит это предупреждающее сообщение.

Почему Chrome не затронут:
Chrome не затронут, потому что Chrome отключил проверки OCSP по умолчанию в 2012 году, сославшись на проблемы с задержкой и конфиденциальностью.

Разрешение

Чтобы избежать ошибки, сделайте следующее:

Internet Explorer> Инструменты> Свойства обозревателя> Дополнительно — снимите флажок «Проверить отзыв сертификата сервера».

После снятия флажка с параметра "Проверить отзыв сертификата сервера" необходимо будет перезагрузить систему Windows, чтобы этот параметр вступил в силу. Это отмечено в окне параметров Интернета браузера: «*Вступает в силу после перезагрузки компьютера».

Удалите записи дискового кэша CRL/OCSP на клиентском компьютере. В командной строке Windows выполните:

> certutil -urlcache CRL удалить
> certutil -urlcache OCSP удалить

Выполните «Очистить состояние SSL» в Internet Explorer > «Свойства обозревателя» > «Контент».

Если описанные выше действия не помогли, необходимо очистить кэш отмены подписи сертификата на устройстве SSL Visibility:

На устройствах с версиями ниже 3.9.6.1 необходимо выполнить сброс до заводских настроек, поскольку этот кэш сохраняется на диске.
При работе с версией 3.9.6.1 и выше кэш отмены сертификата очищается при перезагрузке и больше *не* сохраняется на диске. Таким образом, процедура сброса к заводским настройкам не требуется.

ВАЖНО! Помните, что при сбросе к заводским настройкам текущая конфигурация будет стерта, а устройство SSL Visibility потребуется снова загрузить, поэтому убедитесь, что вы сделали резервную копию всего на устройстве, прежде чем продолжить.

Что такое сертификат безопасности?

Сертификат работает аналогично физическому документу. Он устанавливает доверие между браузером и веб-сайтами, которые вы посещаете. Список отозванных сертификатов (CRL) — это список отозванных сертификатов, который используется для определения того, является ли текущий сертификат доверенным.Если сертификат веб-сайта, который вы пытаетесь посетить, появляется в списке CRL, это означает, что он был отозван и эмитент больше не доверяет ему. Есть много причин, почему это могло произойти. Вот лишь некоторые из них:

Способ 1. Установка правильной даты и времени

Для этого щелкните правой кнопкой мыши время в правом нижнем углу и выберите "Настроить дату/время".

Способ 2. Устранение потенциальных конфликтов приложений

Способ 3. Обновление среды Java

Еще одна возможная причина появления ошибки «Информация об отзыве сертификата безопасности для этого сайта недоступна» — это устаревшая версия Java. Как оказалось, некоторые старые версии Java могут не иметь доступа к веб-сайту, на котором хранится сертификат. В этом случае решением будет обновление Java до последней версии.

Способ 4. Отключение проверки отзыва сертификата сервера

Но если вы решитесь на это, вот краткое руководство по всему этому:

Нажмите клавишу Windows + R, чтобы открыть окно «Выполнить». Введите «inetcpl.cpl», чтобы открыть свойства Интернета.
В окне "Свойства обозревателя" перейдите на вкладку "Дополнительно" и прокрутите до пункта "Безопасность". Оказавшись там, снимите флажок «Проверить отзыв сертификата издателя» и нажмите «Применить», чтобы подтвердить изменения.
Перезагрузите систему. Сообщение об ошибке «Информация об отзыве сертификата безопасности для этого сайта недоступна» должно быть удалено после перезапуска.

Пользователь начинает получать следующую ошибку в Internet Explorer при отказе от сертификата SSL:

"Информация об отзыве сертификата безопасности для этого сайта недоступна. Продолжить?

Да\Нет\Просмотреть сертификат"

Причина

Разрешение

Чтобы избежать ошибки, сделайте следующее:

Удалите записи дискового кэша CRL/OCSP на клиентском компьютере. В командной строке Windows выполните:

> certutil -urlcache CRL удалить
> certutil -urlcache OCSP удалить

Выполните «Очистить состояние SSL» в Internet Explorer > «Свойства обозревателя» > «Контент».

Читайте также: