Обновление корневых сертификатов в Windows 10

Вообразите, что ваш компьютер является большим офисом, а служба безопасности на входе использует корневые сертификаты для проверки всех, кто пытается войти или передать информацию, будь то обновление программы или веб-сайт. Если списки службы старые или неполные, они могут пропустить мошенника или, наоборот, не позволить вам попасть туда, куда вам нужно.

Эти списки со временем становятся устаревшими. Новые организации начали выдавать «цифровые паспорта», а старые организации потеряли доверие. Обновление корневых сертификатов Windows 10 представляет собой процесс загрузки самых новых и актуальных списков доверенных «охранников». Несмотря на то, что это стандартная процедура, которую система обычно выполняет сама, иногда полезно знать, что это такое и зачем это необходимо.

Если вы не сделаете этого, вы можете начать сталкиваться с неожиданными проблемами. Некоторые сайты будут блокироваться вашим браузером с ошибками безопасности, а некоторые программы не смогут проверить подлинность своих обновлений. Своевременное обновление обеспечивает бесперебойную и, что более важно, безопасную работу в Интернете.

Обновление корневых сертификатов Windows 10 — это то же самое, что обновление «доверенных удостоверений» системы — необходимо для обеспечения бесперебойного доступа к веб-сайтам и услугам. Без них браузер может выдавать ошибки безопасности, когда не может попасть на сайты, даже если все в порядке. Хотя Windows обычно выполняет это автоматически через Центр обновления, иногда, особенно на корпоративных или недавно обновленных компьютерах, может потребоваться вмешательство вручную. Чтобы оставаться в безопасности и получить доступ к необходимым ресурсам, важно игнорировать такие обновления.

Вывод списка установленных корневых сертификатов

Если у вас возникло подозрение, что необходимо обновить некоторые корневые сертификаты Windows 10, не спешите сразу начинать процесс. Возможно, что с ними все хорошо, а проблемы с определенным ПО могут быть вызваны другими причинами. Знайте, что вы должны установить или обновить. После этого откройте список корневых сертификатов и проверьте, есть ли в нем необходимые файлы.

1. Для этого правой кнопкой мыши щелкните по «Пуску» и из появившегося меню выберите пункт «Выполнить».
2. 
3. Введите команду mmc и нажмите Enter, чтобы запустить консоль. Она доступна только в Windows 10 Pro. Если вы получите уведомление об отсутствии команды, прочитайте информацию ниже, где будет показана эта же проверка, но уже через «PowerShell».
4. 
5. В открывшемся окне консоли наведите курсор на меню «Файл» и из него выберите «Добавить или удалить оснастку».
6. 
7. В списке доступных оснасток найдите «Сертификаты» и щелкните по центральной кнопке «Добавить».
8. 
9. Далее достаточно будет кликнуть по «Готово», чтобы подтвердить внесение изменений.
10. 
11. Разверните весь список с папками сертификатов, затем выберите папку «Доверенные корневые центры сертификации» и откройте «Сертификаты». Справа вы видите весь список сертификатов с версиями, датами, информацией о том, кем выдан. Внизу окна будет счетчик элементов в этой папке, что позволит быстрее узнать, сколько всего хранится сертификатов.
12. 

Если этот способ использования консоли не подходит вам или не доступен, вы можете использовать «PowerShell». Ее преимущество заключается в том, что он позволяет выводить на экран помимо основного списка только те сертификаты, которые уже закончились или устарели в течение ближайших 30 дней.

1. Вызовите контекстное меню «Пуска» и выберите из него пункт «Windows PowerShell (администратор)».
2. 
3. Введите команду Get-Childitem cert:\LocalMachine\root |format-list и нажмите Enter для получения полного списка корневых сертификатов.
4. 
5. Ознакомьтесь с ним, просмотрите даты и другие сведения, которые интересуют вас в рамках выполнения задачи.
6. 
7. Для просмотра устаревающих сертификатов используйте команду Get-ChildItem cert:\LocalMachine\root| Where {$_.NotAfter -lt (Get-Date).AddDays(30)} |select NotAfter, Subject.
8. 
9. Тут будут отображены только те сертификаты, которые уже устарели или истекут в ближайший месяц.
10. 

В вышеупомянутых руководствах вы сможете получить дополнительную информацию о всех корневых сертификатах Windows 10. Благодаря полученной информации можно уже прийти к выводу о том, нужно ли их обновлять и как это сделать.

Включение автоматического обновления корневых сертификатов

Операционная система Виндовс 10 настроена таким образом, что должна сама время от времени обновлять корневые сертификаты, поскольку это напрямую связано с безопасностью пользователей. Если это по каким-то причинам не происходит, следует предположить, что обновление просто запрещено через настройки локальной политики или необходимый параметр, отвечающий за данное действие, отсутствует. Обладатели Windows 10 Pro могут проверить этот запрет через «Редактор локальной групповой политики».

1. Снова запустите утилиту «Выполнить», используя для этого уже знакомое меню или стандартное сочетание клавиш Win + R.
2. 
3. Введите команду gpedit.msc и нажмите Enter для ее подтверждения.
4. 
5. Отобразится окно «Редактора локальной групповой политики». В нем разверните «Конфигурация компьютера» — «Административные шаблоны» — «Система».
6. 
7. В папке выберите «Управление связью через Интернет», затем перейдите в каталог «Параметры связи через Интернет».
8. 
9. Отыщите среди политик «Выключить автоматическое обновление корневых сертификатов» и дважды кликните по данному параметру, чтобы открыть его свойства.
10. 
11. Значение должно быть установлено как «Не задано» или «Отключено». В случае необходимости измените его, затем примените изменения и перезагрузите ПК.
12. 

Вы можете использовать «PowerShell», чтобы проверить параметр в реестре, если вы обнаружили, что параметр просто отключен или у вас нет возможности просмотреть локальные политики. При наличии и неправильном значении вносятся соответствующие изменения, что позволяет разблокировать автоматическое обновление корневых сертификатов.

1. Откройте «Windows PowerShell» от имени администратора.
2. 
3. Введите команду Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate.
4. 
5. Если на экране отобразилась информация о том, что не удается найти путь, значит, данный параметр вовсе отсутствует и не должен влиять на автоматическое обновление корневых сертификатов.
6. 

Когда такой параметр существует, появляется сообщение со значением «1». Если вы столкнулись с подобной ситуацией, откройте редактор реестра и найдите параметр «DisableRootAutoUpdate». Затем измените его значение на «0».

Ручное обновление корневых сертификатов

Если автоматическое обновление корневых сертификатов не работает, можно сделать ручной апдейт. Это можно сделать с помощью специальной утилиты, которая позволяет получить все сертификаты в одном файле, затем просмотреть их, экспортировать только те, которые нужны для обновления, или установить сразу все. Инструкцию для этого можно найти здесь, и ее нужно выполнить пошагово, чтобы все было правильно.

1. Для удобства на диске C (куда установлена ваша ОС), создайте пустую папку под сертификаты. В нашем случае она будет называться «PS» и использоваться в командах. Далее откройте «Командную строку» от имени администратора.
2. 
3. Введите команду certutil.exe -generateSSTFromWU c:\PS\roots.sst, заменив путь на тот, куда вы хотите поместить файл «roots.sst».
4. 
5. По завершении вы должны получить информацию о том, что SST-файл успешно обновлен. Можете закрыть консоль и перейти к следующему шагу.
6. 
7. Откройте созданную ранее папку и дважды кликните по находящемуся в ней файлу «roots.sst».
8. 
9. Должно появиться уведомление от консоли управления (MMC), поскольку именно через нее мы запускаем просмотр сертификатов.
10. 
11. Разверните папку и просмотрите присутствующие тут записи. Если интересуют только конкретные сертификаты, по каждому из них по очереди нажмите ПКМ, выберите «Все задачи» и «Экспорт». Сохраните файл и далее импортируйте его в MMC (детально мы покажем это в следующем разделе материала).
12. 
13. Однако в большинстве случаев пользователей интересует установка абсолютно всех сертификатов. Вручную экспортировать их долго и сложно, поэтому откройте «PowerShell» от имени администратора и используйте команду $sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst ).
14. 
15. Далее введите $sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root для переноса всех корневых сертификатов в целевую папку их расположения.
16. 
17. В итоге вы должны получить полный список скопированных сертификатов.
18. 
19. Для их просмотра используйте в «Выполнить» команду certmgr.msc.
20. 
21. Вы сразу будете перенаправлены к нужной оснастке и сможете просмотреть, как изменилось хранилище в сравнении с его изначальным видом.
22. 

Обновление корневых сертификатов Windows 10 — это важный шаг по обеспечению безопасности в Интернете, а не просто новая техническая функция. Представьте эти сертификаты как надежные паспорта, которые подтверждают подлинность веб-сайтов, защищая ваши личные данные от злоумышленников.

Поэтому установка последних обновлений Microsoft имеет решающее значение. Это закрывает потенциальные лазейки для мошенников, автоматически пополняя «коллекцию» доверенных паспортов вашей системы. Вы получите не только новые функции, но и улучшите свою цифровую защиту.

Итак, одна из простых, но важных привычек, которую вы должны следить за тем, чтобы ваша работа за компьютером оставалась безопасной, а ваша личная информация под надежной защитой, — это регулярно обновлять список корневых сертификатов.