CRL/OCSP недоступны: подпись не проверяется — как исправить в Windows (2025)
Для проверки подписи Windows тянет списки отзыва и OCSP по URL из сертификата. Если сеть/прокси/время мешают, верификация падает. Разберём, что проверить и как быстро восстановить.
1) Узнаём адреса CRL/OCSP из сертификата
Командная строка — выполнять по одной:
certutil -dump C:\certs\your.cer
# В выводе ищите: CRL Distribution Points, Authority Information Access (OCSP)2) Прокси для WinHTTP
Службы Windows используют настройки WinHTTP. Импортируйте конфигурацию из Internet Options или задайте прокси вручную.
Командная строка (Администратор) — выполнять по одной:
netsh winhttp show proxy
netsh winhttp import proxy source=ie
REM Или задать вручную:
netsh winhttp set proxy proxy-server="http=myproxy.local:3128;https=myproxy.local:3128" bypass-list="localhost;127.0.0.1;*.local"3) Время и часовой пояс
Несовпадение времени ломает проверку цепочки и OCSP. Синхронизируйте службу времени.
Командная строка (Администратор) — выполнять по одной:
w32tm /query /status
w32tm /resync4) Чистим кэш и тестируем загрузку CRL/OCSP
Командная строка (Администратор) — выполнять по одной:
certutil -urlfetch -verify C:\certs\your.cer
certutil -url http://example.com/path/to.crl
certutil -url http://ocsp.example.com/В окне certutil нажмите «Retrieve» и смотрите результат. Ошибки соединения укажут на сетевую проблему, 401/403 — на ограничения доступа.
5) Фаервол и DPI
- Разрешите выход на адреса CRL/OCSP из сертификатов Ваших УЦ.
- Отключите расшифровку TLS на этих доменах, если DPI ломает OCSP.
- Проверьте, что антивирус не блокирует процесс
lsass.exeи службы криптографии.
6) Цепочки УЦ и автообновление корней
Если корневой/промежуточный сертификат не установлен, проверка отзыва тоже может падать.
Командная строка (Администратор) — выполнять по одной:
certutil -addstore root C:\certs\root-ca.cer
certutil -addstore CA C:\certs\intermediate-ca.cer