Реклама показывается только незарегистрированным пользователям. Вход или Регистрация

Сертификат безопасности сервера не действителен

Помощь новичкам, часто задаваемые вопросы и ответы по телевизорам LG Smart TV на webOS. Новичкам читать обязательно.

Сертификат безопасности сервера не действителен

Сообщение smsbox » 02 окт 2021, 00:20

Обновление темы от 23.10.2021 г.
Инструкция по обновлению сертификатов на LG

30 сентября в 14.01 по Гринвичу (17.01 мск) у миллионов пользователей по всему миру начались проблемы с доступом к интернету.
В этот момент закончится срок действия цифрового корневого сертификата IdenTrust DST Root CA X3. Особенно это затрагивает smarttv
см. https://iz.ru/1228877/2021-09-30/milliony-ustroistv-mogut-lishitsia-seti-iz-za-istecheniia-sertifikata-shifrovaniia
Можно ли исправить проблему имея root? Я пошел таким путем, но еще до финиша не добрался.

smsbox

 
Сообщения: 751
Зарегистрирован: 10 фев 2018, 09:56
Благодарил (а): 59 раз.
Поблагодарили: 244 раз.
Телевизор: LG 32LK615B

Сертификат безопасности сервера не действителен

Спонсор » 02 окт 2021, 00:20

Реклама показывается только незарегистрированным пользователям. Войти или Зарегистрироваться
Спонсор

 
Сообщения: 100
Зарегистрирован: 15 июл 2014, 18:43
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Как получить Root права на webOS 1.0-6.0

Сообщение Vasil » 02 окт 2021, 15:49

smsbox
а как нарушения работы телевизора проявляются? что ломается при данной проблеме?
Vasil

 
Сообщения: 7
Зарегистрирован: 25 сен 2021, 10:18
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.
Телевизор: LG 49UJ639V-ZE

Re: Как получить Root права на webOS 1.0-6.0

Сообщение smsbox » 02 окт 2021, 16:18

Vasil
На экране ТВ появляется сообщение "Сертификат сервера не является надежным. Код ошибки -501"



1. Исчезает часть картинок (логотипов) в программах. Я покажу на пример Dstore vip, что начинает не так работать. Так в разделе radio нет логотипа радио ЗайцевFM, VseFM т. е. те, сайты, что используют сертификаты некоммерческого центра сертификации (сертификаты TLS сейчас используют 260 миллионам веб-сайтов.) kinopub. некоторые порталы в playfork, рут маркет и т. п
со старый сертификатом

после обновления сертификата

2. При запуске виджетов, что по https работают и так же сертификаты этого центра, ТВ вываливается с сообщением ошибки сети, либо с информацией что действие сертификата еще не началось или уже закончилось.
3. При запуске потоков (звук или видео) аналогично падает в экран ошибки сети или на неверный сертификат.
Если с картинками не так страшно, нет и фиг с ними, то ни видео, ни радио с этих сайтов не посмотреть

После обновления сертификата все работает как надо. Изложенные шаги выше верны и приводят к исправлению ситуации.

Добавлено спустя 13 минут 1 секунду:

Уточню, что надо делать на ТВ с root, чтобы обновить сертификат
a) Создаем папку /mozilla/, туда скопируем все из usr/share/ca-certificates/mozilla/
Код: Выделить всё
mkdir -p /media/cryptofs/root/mozilla

Код: Выделить всё
cp -r /usr/share/ca-certificates/mozilla/* /media/cryptofs/root/mozilla

б) Заместим папку (она только для чтения), на нашу, где мы имеем все права
Код: Выделить всё
mount -o bind /media/cryptofs/root/mozilla/ /usr/share/ca-certificates/mozilla/

теперь система работает с нашей копией, а не с оригинальным каталогом
в) Скачаем новый сертификат
Код: Выделить всё
curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt

г) Обновим стартовый скрипт
Код: Выделить всё
vi /media/cryptofs/apps/usr/palm/services/com.palmdts.devmode.service/start-devmode.sh

добавив
Код: Выделить всё
mount -o bind /media/cryptofs/root/mozilla/ /usr/share/ca-certificates/mozilla/

перед командой telnetd -l /bin/sh
д) Отредактируем записи в файле /etc/ca-certificates.confдобавим строчку строчку:
mozilla/ISRG_Root_X1.crt и пометим старый сертификат на удаление ! mozilla/DST_Root_CA_X3.crt командой vi /etc/ca-certificates.conf
е) Произведем обновление сертификатов командой update-ca-certificates
ж) перезапустим систему командой reboot

Если etc у вас read only (у меня был открыт в момент получения root), его тоже надо подменить
etc надо так же подменить.

1. Создаем папку, туда скопируем все из /etc/ (/etc/ -)
Код: Выделить всё
mkdir -p /media/cryptofs/root/etc


2. Копируем все не глядя, без лишних вопросов
Код: Выделить всё
cp -r /etc/* /media/cryptofs/root/etc


3. Делаем маппинг /etc на новую папку
Код: Выделить всё
mount -o bind /media/cryptofs/root/etc /etc


прописываем в стартовый скрипт
Код: Выделить всё
mount -o bind /media/cryptofs/root/etc /etc



Еще один способ обновления сертификата упрощенный




WEB OS 3.4 (2017 год) Версия OpenSSL: OpenSSL 1.0.1p 9 Jul 2015 update-ca-certificates выбивает ошибку /usr/sbin/update-ca-certificates: line 214: c_rehash: not found и как следствие обновление не происходит.
Начало решения проблемы
Последний раз редактировалось smsbox 06 окт 2021, 14:11, всего редактировалось 5 раз(а).
smsbox

 
Сообщения: 751
Зарегистрирован: 10 фев 2018, 09:56
Благодарил (а): 59 раз.
Поблагодарили: 244 раз.
Телевизор: LG 32LK615B

Re: Как получить Root права на webOS 1.0-6.0

Сообщение RoxsAndy » 02 окт 2021, 20:33

Новый сертификат - это конечно хорошо, только вот у меня одна загвоздка с его установкой: /etc - Read only. Это файло /etc/ca-certificates.conf тоже куда-то копировать и биндить нужно для исправления?
RoxsAndy

 
Сообщения: 8
Зарегистрирован: 07 авг 2018, 19:48
Благодарил (а): 1 раз.
Поблагодарили: 7 раз.
Телевизор: LG 49UJ651V

Re: Как получить Root права на webOS 1.0-6.0

Сообщение smsbox » 02 окт 2021, 22:02

RoxsAndy писал(а):Новый сертификат - это конечно хорошо, только вот у меня одна загвоздка с его установкой: /etc - Read only. Это файло /etc/ca-certificates.conf тоже куда-то копировать и биндить нужно для исправления?

etc надо так же подменить.

1. Создаем папку, туда скопируем все из /etc/ (/etc/ -)
Код: Выделить всё
mkdir -p /media/cryptofs/root/etc


2. Копируем все не глядя, без лишних вопросов
Код: Выделить всё
cp -r /etc/* /media/cryptofs/root/etc


3. Делаем маппинг /etc на новую папку
Код: Выделить всё
mount -o bind /media/cryptofs/root/etc /etc


прописываем в стартовый скрипт
Код: Выделить всё
mount -o bind /media/cryptofs/root/etc /etc


У меня etc был сделан с момента получения root.
smsbox

 
Сообщения: 751
Зарегистрирован: 10 фев 2018, 09:56
Благодарил (а): 59 раз.
Поблагодарили: 244 раз.
Телевизор: LG 32LK615B

Re: Как получить Root права на webOS 1.0-6.0

Сообщение smsbox » 03 окт 2021, 09:51

Желающие могут поставить еще 2 сертификата. У меня работает без них, но вдруг потребуется
Код: Выделить всё
curl -k https://letsencrypt.org/certs/isrg-root-x2.pem | tee /usr/share/ca-certificates/mozilla/ISRG_Root_X2.crt
curl -k https://letsencrypt.org/certs/lets-encrypt-r3.pem | tee /usr/share/ca-certificates/mozilla/Lets_Encrypt-R3.crt


добавим при помощи редактора vi /etc/ca-certificates.conf
Код: Выделить всё
mozilla/ISRG_Root_X2.crt
mozilla/Lets_Encrypt-R3.crt


Произведем обновление сертификатов командой update-ca-certificates

Реально ничего не меняется от этого, так как
первого сертификата достаточно, он подписывает эти два.
Последний раз редактировалось smsbox 03 окт 2021, 10:49, всего редактировалось 4 раз(а).
smsbox

 
Сообщения: 751
Зарегистрирован: 10 фев 2018, 09:56
Благодарил (а): 59 раз.
Поблагодарили: 244 раз.
Телевизор: LG 32LK615B

Re: Как получить Root права на webOS 1.0-6.0

Сообщение hzh » 05 окт 2021, 06:51

Всем привет, WebOS 3.4 (ТВ 2017 года LG 55UH7507), заменил сертификат по инструкции (проверил несколько раз, все на нужных местах), в браузере все равно фейл (например, на сайте rezka). Подозреваю проблема в openssl, на сайте let'sencrypt пишут следущее: if clients of your API are using OpenSSL, they must use version 1.1.0 or later.In OpenSSL 1.0.x, a quirk in certificate verification means that even clients that trust ISRG Root X1 will fail when presented with the Android-compatible certificate chain we are recommending by default.
А у меня версия OpenSSL 1.0.1p 9 Jul 2015
Возможно есть у кого соображения? Пробовал обновить openssl через opkg, пишет up-to-date...
hzh

 
Сообщения: 7
Зарегистрирован: 21 ноя 2017, 01:15
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.
Телевизор: LG 55UH7507

Re: Как получить Root права на webOS 1.0-6.0

Сообщение smsbox » 05 окт 2021, 07:16

hzh писал(а):В, в браузере все равно фейл (например, на сайте rezka).

Для проверки сертификата зайдите в браузере по адресу
Код: Выделить всё
https://valid-isrgrootx1.letsencrypt.org/
. Если там все нормально - сертификат работает у вас. Что касается резки - если вы в РФ - резка заблокирована и РНК между вами и сайтом находится.
smsbox

 
Сообщения: 751
Зарегистрирован: 10 фев 2018, 09:56
Благодарил (а): 59 раз.
Поблагодарили: 244 раз.
Телевизор: LG 32LK615B

Re: Как получить Root права на webOS 1.0-6.0

Сообщение hzh » 05 окт 2021, 07:19

smsbox
Да, тут нормально! Ситуация еще больше странная... Нет, не из РФ, и резка (и другие сайты с let's encrypt) именно после 30 числа перестали работать, потому явно связанно с устареванием сертификата
hzh

 
Сообщения: 7
Зарегистрирован: 21 ноя 2017, 01:15
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.
Телевизор: LG 55UH7507

Re: Как получить Root права на webOS 1.0-6.0

Сообщение smsbox » 08 окт 2021, 12:56

hzh писал(а):Всем привет, WebOS 3.4 (ТВ 2017 года LG 55UH7507), заменил сертификат по инструкции (проверил несколько раз, все на нужных местах), в браузере все равно фейл.

Для старых ТВ до 2017 года выпуска, где установка сертификата не приводит к нормальной работе (openssl 1.0.1) кажется надо ставить другой сертификат.

Для систем не поддерживающих корневой сертификат ISRG Root X1, Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями не будут сообщать об ошибке как минимум до 2024 года. Попробуйте установить вот этот сертификат http://dstore.lh1.in/crt
smsbox

 
Сообщения: 751
Зарегистрирован: 10 фев 2018, 09:56
Благодарил (а): 59 раз.
Поблагодарили: 244 раз.
Телевизор: LG 32LK615B

След.

Вернуться в Телевизоры LG - Помощь



 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение