s_host, вы же видите, что сертификат выдан не тому сайту, на который вы заходите? Об этом вам и сообщает антивирус. можете подсказать что делать ?»
1. Удалить средства обхода блокировок.
или
2. Удалить антивирус.

Определитесь на какой вы стороне, на темной или на светлой) и сделайте выбор.

К теме "Обновление корневых сертификатов" данный вопрос не имеет отношения.

Поясните, надо ставить на 7, если регулярно устанавливаю накопительные обновления .msi из каталога обновлений?

sputnikk, накопительные обновления не содержат сертификатов, рекомендую обновить сертификаты одним из предложенных здесь наборов.

накопительные обновления не содержат сертификатов »Раньше приходили через ЦО?

sputnikk, да, но они распространялись, как самостоятельные обновления и никогда не входили в состав накопительных.

jameszero, Спасибо. Сейчас не приходят через ЦО наcтроенный на обновления Embedded Standard 7.

После установки набора на Вин 7 ЦО наконец стал находить обновления от Embedded Standard 7. Хотя не нашёл в описании патчей требование иметь свежие сертификаты.

Проблема с веб-инсталлятором клиента GOG Galaxy. При запуске сразу вываливается "Невозможно подключиться к GOG.com. Проверьте ваше соединение с Интернетом.".

В лог-файле C:\ProgramData\GOG.com\Galaxy\logs\InstallerWebinstaller.log увидел отметку следующего вида:

[error] Error reading remote config: System.Net.WebException: Запрос был прерван: Не удалось создать защищенный канал SSL/TLS.
[error] Error: Getting json remote config: https://remote-config.gog.com/components/webinstaller?component_version=2.0.0

Гугл на запрос этой ошибки (Не удалось создать защищенный канал SSL/TLS) вываливает довольно много ссылок, в которых упоминается о необходимости обновления корневых сертификатов (например (https://helpme1s.ru/obnovlyator-1s-oshibka-zapros-byl-prervan-ne-udalos-sozdat-zashhishhennyj-kanal-ssltls)), однако упоминаемые обновления (КВ) либо уже установлены, либо отказываются ставиться с уведомлением вида "Обновление не применимо к этому компьютеру."

Скачанный из этой темы RootCertUpdater вроде как сообщает об успешной установке этих самых корневых сертификатов, но непонятно как это можно проверить.

Как рекомендуют здесь (https://winitpro.ru/index.php/2017/03/20/obnovlenie-kornevyx-sertifikatov-v-windows/), попробовал выполнить команду:
certutil.exe -generateSSTFromWU C:\roots.sst

Но это приводит лишь к результату вида:
Сертификат был отозван 0x80092010 (-2146885616) -- authrootstl.cab
CertUtil: -generateSSTFromWU команда НЕ ВЫПОЛНЕНА: 0x80092010 (-2146885616)
CertUtil: Сертификат был отозван

Попробовал трюк под названием Enable TLS 1.1 and 1.2 for WinHttp applications (отсюда (https://gist.github.com/debold/307266ee9487e78789f351f30ff8247e)), хотя в данном случае вроде как простой HTTP не используется. Но это не помогло:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"DefaultSecureProtocols"=dword:00000A00

Также встретился совет по созданию SchUseStrongCrypto для .NET Framework путем таких изменений в реестре:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Но все это ничего не дало, веб-инсталлятор GOG Galaxy по-прежнему пишет что нет интернета.

Грешным делом подумал, что провайдер что-то блочит, он вообще довольно лютый в этом плане, многие методы обхода блокировок Роскомнадзора, которые работают для других провайдеров, с ним не прокатывают. На скорую руку нашел параметры для создания какого-то простенького РРТР-соединения:

Адрес сервера: 145.239.252.205
Имя пользователя: vpnbook
Пароль: mbr7ahx (переключить на ..for all users..)
Свойства подключения
Протокол проверки пароля: оставить только MSCHAPv2
Шифрование данных: выбрать 128-bit и отметить галочкой постоянное шифрование
Сжатие: везде снять галочки

После подключения этого VPN-соединения стали открываться заблокированные сайты (RuTracker.org, Meduza.io), которые ранее не открывались с ошибкой ERR_CONNECTION_RESET. Но на инсталляторе GOG Galaxy это все никак не сказалось. В общем, дело не в блокировке со стороны провайдера. VPN отключил, вернулся на обычное соединение.

SFC /ScanNow пишет что все хорошо, да и в целом никаких проблем действительно не наблюдается, система функционирует нормально. Обновления ставились до тех пор, пока Simplix не заблокировал их установку в своем пакете для жителей РФ. Далее апдейты на ОС ставились лишь эпизодически и вручную, путем скачивания КВ из Microsoft Update Catalog. Последние пакеты обновлений ставились 14 февраля (номера KB5034831, KB5033899, KB5034865), если это вдруг важно.

В журнале Windows попытки запуска инсталлятора GOG Galaxy сопровождаются однотипными записями:
Получено следующее предупреждение о неустранимой ошибке: 50.
Источник: Schannel

В подробностях ссылается на ProcessID 656, команда
tasklist /svc | findstr 656
показала что это lsass.exe, убить который я по понятным причинам не могу. ))) На это интернет рекомендует отключить TLS 1.2 в настройках Internet Explorer... Галочку на всякий случай снял, но проблему это не решило.

В общем, я в непонятках: вроде как всё в норме, но инсталлятор GOG Galaxy упорно считает что связи с сервером нет. Есть у кого какие мысли на сей счет?

P.S. Система Windows 7 "Ultimate" (64-бит).

инсталлятор GOG Galaxy упорно считает что связи с сервером нет. Есть у кого какие мысли на сей счет? »

[error] Error: Getting json remote config: https://remote-config.gog.com/compon..._version=2.0.0 »
Оно хочет скачать "конфиг, чего скачивать", и у него не получается.

Конфиг простой, по ссылке https://remote-config.gog.com/components/webinstaller?component_version=2.0.0 открывается браузером {"version":"2.0.0","content":{"osx":{"size":266149673,"version":"2.0.73.27","deprecated":false,"downloadLink":"https:\/\/content-system.gog.com\/open_link\/download?path=\/open\/galaxy\/client\/2.0.73.27\/galaxy_client_2.0.73.27.pkg","installerMd5":"c8213dac77dfb1a3e4bd96318f483f75"},"windows":{"size":276888600,"version":"2.0.73.27","deprecated":false,"downloadLink":"https:\/\/content-system.gog.com\/open_link\/download?path=\/open\/galaxy\/client\/2.0.73.27\/setup_galaxy_2.0.73.27.exe","installerMd5":"1d6d6b76a8ed0d41a06771097a862e42"}},"bases":[]}

А на вашей системе в браузере он открывается?

Может проблема в том, что там sha256 ?

https://i3.imageban.ru/thumbs/2024.04.01/ca35f52ec12ff06066761ea1a20652d4.png (https://imageban.ru/show/2024/04/01/ca35f52ec12ff06066761ea1a20652d4/png)

Вроде на win7 нужно отдельное обновление для 256 бит накатывать, если склероз не изменяет kb4474419 .

А на вашей системе в браузере он открывается? »
Хм-м... И да, и нет:
Firefox: открылся
Edge: открылся
IE 11: "Не удается отобразить эту страницу. Убедитесь, что веб-адрес https://remote-config.gog.com правильный..." Ну и т.д.

Может проблема в том, что там sha256 ?
На win7 нужно отдельное обновление для 256 бит накатывать. »
https://support.drweb.ru/sha2 - пробовал ставить указанные КВ из этой статьи. Но результат был такой же, как уже описывал выше: какие-то обновления уже числятся установленные, какие-то пишут что не подходят для этой ОС.

---
Update: сбросил IE 11 на стандартные настройки, теперь вообще пишет следующее при попытке зайти по тому линку:
Не удается отобразить эту страницу


Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://remote-config.gog.com . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.


Снова открыл настройки IE, но там все эти галочки (TLS 1.0, 1.1, 1.2) стоят.

Avatar-Lion, на странице загрузки веб-инсталлятора написано, что требуется Windows 8 или новее. Сертификаты в этом случае не панацея.

Попробуйте скачать полный установщик (https://content-system.gog.com/open_link/download?path=/open/galaxy/client/2.0.73.27/setup_galaxy_2.0.73.27.exe) любым браузером, кроме интернет эксплорера, но работоспособность на семерке, опять же, не гарантируется.

jameszero, Да, по прямой ссылке Full-вариант установщика скачивается нормально, но только через другие браузеры. Через IE 11 не хочет.

---
Исследование вопроса с помощью яндекса и гугла показало, что IE 11 не поддерживает TLS 1.2, по крайне мере, этот тест (https://clienttest.ssllabs.com:8443/ssltest/viewMyClient.html) пишет, что "Your user agent doesn't support TLS 1.2 and TLS 1.3". Ну и плюс всякие-разные обсасывания этого вопроса на просторах интернета на это намекают. Складывается впечатление, что поддержка TLS 1.2 в IE 11 в рамках Windows 7 имеется чисто для галочки, а на деле тупо не работает.

Дальнейшие поиски привели к ProxHTTPSProxy (https://escargot.chat/services/messenger/forums/110002000195710/guide-using-proxhttpsproxy-on-windows-xp-vista-to-avoid-messenger-errors/). Правда, оно делалось для работы под WinXP, чтобы на ней корректно отображались современные сайты, но и для Win7 тоже вроде как подходит. После запуска ProxHTTPSProxy_PSwitch.exe из папки с программой браузер IE 11 успешно прошел упомянутый выше тест на TLS 1.2 (Your user agent has good protocol support!). Также заработали все прошлые варианты и ссылки: установка через веб-установщик, получение json-конфига по прямой ссылке через IE 11, скачивание Full-варианта установщика через все тот же IE 11.

Правда, сам по себе клиент GOG Galaxy, оказывается, не умеет работать с прокси, поэтому отвалилась внутриигровая статистика... Жесть, короче. Не ожидал такой подставы от GOG, который вроде как изначально был рассчитан именно на запуск всяких старых игр на современных компьютерах, а по факту имеем страшный гемор. Конечно, Win7 не новая система, но все равно странно видеть подобное.

Набор корневых сертификатов актуализирован.

Наконец, последние корневые сертификаты Microsoft для Windows 7 необходимо установить в хранилище сертификатов доверенного корневого центра локального компьютера. Пакетный файл для автоматической установки всех сертификатов и списков отзыва можно найти здесь:
Последнее обновление: 10 апреля 2024 г.
https://hackandpwn.com/windows-7-esu-patching/

2018-08-02 Сертификат MicRooCerAut2011_2011_03_22.crt
2018-08-02 Сертификат Корневой центр сертификации продуктов Microsoft ECC 2018.crt
2018-08-02 Сертификат Корневой центр сертификации Microsoft ECC TS 2018.crt
2018-08-02 Сертификат Корневой центр сертификации меток времени Microsoft 2014.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft ECC 2017.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft EV ECC 2017.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft RSA 2017.crt
2020-01-22 Сертификат Корневой центр сертификации Microsoft EV RSA 2017.crt
2024-01-24 Список отзыва Корневой центр сертификации меток времени Microsoft 2014.crl
14.02.2024 Список отзыва Корневой центр сертификации Microsoft ECC 2017.crl
04.03.2024 Список отзыва MicRooCerAut_2010-06-23.crl
2024-03-12 Список отзыва Корневой центр сертификации продуктов Microsoft ECC 2018.crl
2024-03-12 Список отзыва Корневой центр сертификации Microsoft ECC TS 2018.crl
2024-03-21 Список отзыва Корневой центр сертификации Microsoft RSA 2017.crl
2024-03-22 Список отзыва Корневой центр сертификации Microsoft EV ECC 2017.crl
2024-03-22 Список отзыва Корневой центр сертификации Microsoft EV RSA 2017.crl

Файл можно скачать здесь:
https://www.upload.ee/files/16529138/08_Certs.zip.html

Поддержка работы сайтов с российскими сертификаторами.
Для доступа на какие сайты нужны российскии сертификаты?
Сертификаты безопасности Минцифры нужны для посещения сайтов органов власти, банков и ряда других организаций. Постепенно планируется внедрить их на большинство российских сайтов
https://www.gosuslugi.ru/crt

Сертификаты обновились 29.05.2024

Набор корневых сертификатов актуализирован.

29-05-2024 » новее не будет?

Во-первых можно скачать свежие сертификаты при установке.
Во-вторых в шапке написан способ самостоятельного создания обновлённого пакета.

новее не будет? »
После 29-05-2024 не было обновлений сертификатов.