Корневые сертификаты устарели — HTTPS/подпись не работают в Windows 10/11: как безопасно обновить (2025)

Признаки проблемы

• В браузере: «Ненадёжный сертификат», «Центр сертификации не найден».
• В CryptoPro/Outlook: «невозможно построить цепочку сертификации до доверенного корневого центра».
• Печать PDF/подпись не проверяется, штамп времени не ставится.

1) Проверьте время и часовой пояс

Параметры → Время и язык → Дата и время. Включите «Установить время автоматически», «Установить часовой пояс автоматически» и нажмите «Синхронизировать сейчас».

2) Службы: «Криптографические» и «Центр обновления Windows»

Откройте Win+R → services.msc и запустите/переведите в «Автоматически»:

• Криптографические службы (Cryptographic Services).
• Центр обновления Windows (Windows Update).

3) Обновляем доверенные корни из Windows Update

PowerShell (Администратор) — вставить целиком:

$sst = "$env:USERPROFILE\Desktop\roots.sst"
certutil.exe -generateSSTFromWU $sst
# Импортировать корневые сертификаты в «Доверенные корневые центры сертификации» (локальный компьютер)
certutil.exe -addstore -f -enterprise -user root $sst
"Файл с корнями: $sst"

Если команда выдаёт ошибку доступа к Windows Update — убедитесь, что интернет есть и службы из шага 2 работают. Выполните команды ещё раз.

4) Добавляем промежуточные сертификаты Вашего УЦ

Зайдите на сайт Вашего удостоверяющего центра и скачайте официальные пакеты промежуточных/корневых сертификатов. Обычно у них есть инструкция по установке.

Двойной клик по .cer → «Установить сертификат…», выбираем «Локальный компьютер», далее «Поместить все сертификаты в следующее хранилище» → «Промежуточные центры сертификации».

5) Проверка: цепочка доверия

PowerShell (Администратор) — выполнять по одной:

certmgr.msc
certutil -store -user root | more
certutil -verify -urlfetch путь_к_сертификату.cer

В окне сертификата вкладка «Путь сертификации» должна показывать непрерывную цепочку до корневого центра.