Проблема корневых сертификатов стала актуальна для Windows 7 после окончания её поддержки. И если с отсутствием свежих хотфиксов смириться, в принципе, можно, то из-за не обновлённого хранилища сертификатов перестают нормально отображаться сайты и ломаются онлайн инсталляторы (примеры тут (http://forum.oszone.net/thread-350941.html), тут (http://forum.oszone.net/thread-351095.html) и тут (http://forum.oszone.net/thread-351135.html)). В данной теме выкладываю набор актуальных корневых и отозванных сертификатов (аналог KB931125 + KB2917500) и даю ссылки на аналогичные разработки участников форума. Кроме того в интернете вы можете найти и другие (https://msfn.org/board/topic/175170-root-certificates-and-revoked-certificates-for-windows-xp/) похожие решения.
--
Скачать RootCertUpdater (http://forum.oszone.net/attachment.php?attachmentid=170810&stc=1&d=1751559447), зеркало (https://mega.nz/file/eMNVWQRQ#lezpO3PgYPSY0OEjGAN2nyw97h98gSr92h5aoWAxNlY)
Ключи тихой установки:
-y -gm2 -fm0 - установка с исправлением (http://forum.oszone.net/post-3008813.html#post3008813) отозванных сертификатов
-ai -gm2 -fm0 - установка без исправления отозванных сертификатов (оригинальная установка)

Совместимость: от Windows XP до Windows 11 (x86/x64)
--
Данный обновлятор представляет собой 7z SFX архив со следующим конфигом:;!@Install@!UTF-8!
Title="Обновлятор корневых сертификатов"
BeginPrompt=" Обновить хранилище сертификатов?

Нажав \"Да\", удерживая \"Shift\", установите обновление
без фикса корневых сертификатов Microsoft"
RunProgram="updroots \"%%T\\authroots.sst\""
RunProgram="updroots \"%%T\\updroots.sst\""
RunProgram="updroots -l \"%%T\\roots.sst\""
RunProgram="updroots -d \"%%T\\delroots.sst\""
RunProgram="updroots -l -u \"%%T\\disallowedcert.sst\""
RunProgram="hidcon:fix.cmd"
AutoInstall="updroots \"%%T\\authroots.sst\""
AutoInstall="updroots \"%%T\\updroots.sst\""
AutoInstall="updroots -l \"%%T\\roots.sst\""
AutoInstall="updroots -d \"%%T\\delroots.sst\""
AutoInstall="updroots -l -u \"%%T\\disallowedcert.sst\""
GUIFlags="2+4+8+16+32+2048"
MiscFlags="4"
GUIMode="1"
FinishMessage="Обновление выполнено!"
;!@InstallEnd@!и содержит актуальные на дату публикации файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst

Вы можете самостоятельно обновлять обновлятор) открыв его в архиваторе 7-Zip и перетянув в него более свежие sst-файлы:http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst
На применённый в наборе SFX модуль 7-Zip возможен ложный детект антивируса. Отключите временно антивирус или используйте другой вариант обновления сертификатов.

[hr]Другие варианты обновления корневых сертификатов:

Набор (http://forum.oszone.net/post-2992969-48.html) от Vanadiy777 (http://forum.oszone.net/member.php?userid=240791) (обновляется автором)

Набор (http://forum.oszone.net/post-2984648-4.html) от boss911 (http://forum.oszone.net/member.php?userid=29707)

Набор (http://forum.oszone.net/post-2985055-10.html) от sov44 (http://forum.oszone.net/member.php?userid=97174) (обновляется автором)

Набор (http://forum.oszone.net/post-2985909-20.html) от san02 (http://forum.oszone.net/member.php?userid=82946)

Russian Trusted Root CA + Russian Trusted Sub CA (http://forum.oszone.net/post-2992714-36.html) - Российский корневой сертификат

jameszero, наверное было-бы интереснее, если бы утилита сама скачивала сертификаты и обновляла системные.

sov44, не вижу проблем прикрутить к набору wget, но теряется автономность и возможность использовать набор при автоустановке. С другой стороны, то что вы предлагаете, уже есть по ссылке - "другие варианты решения".

Автозагрузка сертификатов с последующем обновлением.

Update and Revoked Roots (UpdRoots) (https://forum.ru-board.com/topic.cgi?forum=62&topic=30840&start=1003&limit=1)

jameszero, Запустил через командную строку с ключом -y -gm2 -fm0 (https://ibb.co/FznqfPk) , но что-то не получилось. Что не так я делаю?

Nyvi, это не так работает.
Ключи нужно дописывать к исполняемому файлу RootCertUpdater.exe, перейдя в его директорию или указав полный путь.
Если нужны подробности, спросите в теме Помощь начинающим .:[все вопросы]:. (http://forum.oszone.net/thread-211734.html)
В данной теме это оффтоп.

Запустил через командную строку с ключом -y -gm2 -fm0 . Что не так я делаю? »
Да простят меня модераторы за оффтоп...

Nyvi, Вы не указали исполняемый файл, к которому должны быть применены эти ключи.
В Вашем случае, если командная строка открыта в папке, где расположен файл RootCertUpdater.exe, то команда должна выглядеть так:
RootCertUpdater.exe -y -gm2 -fm0

Если командная строка открыта в другом месте, тогда надо указать полный путь до файла, примерно так:
"D:\Место расположения файла\RootCertUpdater.exe" -y -gm2 -fm0
Где "Место расположения файла" - имя папки, где расположен RootCertUpdater.exe. Если есть пробелы в имени папки, то весь путь должен быть заключен в кавычки.

Автозагрузка сертификатов с последующем обновлением.
Update and Revoked Roots (UpdRoots) »
Скачал, запустил. Не подскажете, чего еще ему надо?
https://i.imgur.com/eoXdBmp.png

Скачал, запустил. Не подскажете, чего еще ему надо? »
Странно... У меня вот так https://i117.fastpic.org/thumb/2022/0511/32/7b665fffbdca4e9baf972a9086685232.jpeg (https://fastpic.org/view/117/2022/0511/7b665fffbdca4e9baf972a9086685232.png.html)

Моя сборка для скачивания и обновления корневых сертификатов CertUpdater.exe (https://disk.yandex.ru/d/ePox-MwA_MA9Fw)
Сборку можно обновить при помощи ключа -aiu, добавлена установка сертификатов Минцифры с поддержкой Mozilla Firefox и других Mozilla-подобных установочных браузеров.

Ключи установки:

CertUpdater.exe -aid -gm2 -fm0 - формирование в папке MyDoubles списка дублей сертификатов. В пути к CertUpdater.exe не должно быть кириллицы.
CertUpdater.exe -aie -gm2 -fm0 - экспорт корневых сертификатов из системы в папку MyRoots, для Windows 8.1 и старше.
CertUpdater.exe -aii -gm2 -fm0 - импорт корневых сертификатов из папки MyRoots в систему, для Windows 8.1 и старше.
CertUpdater.exe -aim -gm2 -fm0 - вызов системного менеджера сертификатов.
CertUpdater.exe -air -gm2 -fm0 - скачивание и установка корневых сертификатов в систему, обновление CertUpdater.
CertUpdater.exe -aiu -gm2 -fm0 - обновление пакета корневых сертификатов CertUpdater.
CertUpdater.exe -aik -gm2 -fm0 - вызов менеджера сертификатов пользователя и компьютера.
CertUpdater.exe -ais -gm2 -fm0 - тихое скачивание и установка корневых сертификатов в систему, обновление CertUpdater.
CertUpdater.exe -aip -gm2 -fm0 - копирование CertUpdater.exe в %WinDir%, создание задания в планировщике для ежемесячного тихого обновления корневых сертификатов в системе.
CertUpdater.exe -aiv -gm2 -fm0 - формирование файла TPcert.txt с данными сторонних сертификатов в системе, не входящих в Microsoft Trusted Root Certificate Program.
CertUpdater.exe -h - вызов справки.

2 sov44
Какие условия необходимы что-бы сработало CertUpdater.exe -aie -gm2 -fm0 ?
CertUpdater запускается, каталог не создаётся, ничего не скачивается. Не помогает создание каталога вручную.
В PH вижу что запускается CMD потом certutil 2 раза и всё тишина....

Начинаем разбираться.
Тут - "D:\1\" - Работает, но скачивается только 2, authroot.stl disallowedcert.stl.
Тут - "D:\!__Downloads__!\Обновление корневых сертификатов\" - Не работает.

Какие условия необходимы что-бы сработало CertUpdater.exe -aie -gm2 -fm0 ?
CertUpdater запускается, каталог не создаётся, ничего не скачивается. Не помогает создание каталога вручную. »
DVall, абсолютно никаких дополнительных условий не нужно.
Открываете командную строку в папке, где находится CertUpdater.exe
В командной строке вводите:
CertUpdater.exe -aie -gm2 -fm0

Второй вариант:
Копируете полный путь до файла CertUpdater.exe
Затем "Win + R" откроется "Выполнить", вставляете свой путь, заключенный в кавычки, и дописываете необходимые ключи -aie -gm2 -fm0

У меня, например, это выглядит так:
"D:\Temp_Soft\Output\CertUpdater.exe" -aie -gm2 -fm0

И каталог MyRoots создается, и файлы все нормально туда скачиваются.

2 Vanadiy777
Не..
Если CertUpdater лежит в каталоге "D:\!__Downloads__!\Обновление корневых сертификатов\" Захожу в него FAR'ом и пытаюсь запустить CertUpdater.exe -aie -gm2 -fm0. То неработает...
Если же CertUpdater лежит в каталоге D:\1\, то таже схема работает....

Какие условия необходимы что-бы сработало CertUpdater.exe -aie -gm2 -fm0 ? »
DVall, не запускайте CertUpdater из папки, содержащей спецсимволы, такие как * ? [ ] { } > < | ; & $ ! ( ) ` ~ #
Если командную строку еще можно под их настроить, то утилиты скачивания и установки не факт, что будут работать.

Тут - "D:\1\" - Работает, но скачивается только 2, authroot.stl disallowedcert.stl. »
Эти файлы скачиваются, т.к. у вас версия Windows ниже 8.1 (вчерашняя правка CertUpdater), в старших версиях будет другой набор файлов.

Набор корневых сертификатов актуализирован.
Ссылки в первом сообщении.

Добрый день.
А можно как то откатить всё назад?
Я понимаю, что "после не значит вследствие" но после применения этого скрипта, я не могу зайдти на Портал Федерального Казначейства. Система была абсолютно рабочей, это было единственное серьезное вмешательство.

А можно как то откатить всё назад? »
SibUrsus, при помощи точек восстановления откатить систему на более раннее состояние.

SibUrsus, RootCertUpdater не затрагивает сертификаты с алгоритмом подписи ГОСТ, используемые на портале Федерального Казначейства.

не могу зайдти на Портал Федерального Казначейства »
SibUrsus, скрипты действительно никак не влияют на сертификаты ФК, проверил на вин7, вин10. Если по какой-то причине сертификаты ФК всё же пропали в хранилище сертификатов, скачайте и переустановите их по новому.
https://roskazna.gov.ru/upload/iblock/b68/Instruktsiya_po_ustanovke_sertifikatov_GUTS_i_UTS_FK.docx

А вот мой вариант на основе решения от jameszero

Скачать с Яндекс.Диск (https://disk.yandex.ru/d/UOB1CkRMicxNQw)

Сделано сразу в виде SVCPACK-аддона для Windows XP, упаковано в WinRAR SFX, который запускает во временной папке install.cmd. Никаких ключей установки не требуется, всё максимально просто: есть интернет - *.sst- и российские *.cer-файлы обновляются и устанавливаются; нет интернета - ставится то, что есть в архиве. Работает как будучи внедрённым в дистрибутив, так и на установленной системе. На Windows XP применяется на T13, для Windows 7 нужно прописать exe-шник в SetupComplete.cmd. Также на Windows XP был протестирован вариант, когда процессор не поддерживает вообще никаких инструкций SSE - всё работает. Для применения на установленной системе я бы рекомендовал распаковать куда-нибудь, чтобы видеть процесс работы и чтобы после этого свежие *.sst- и *.cer-файлы не самоуничтожились. Их потом можно будет обновить в архиве. Также можно будет модифицировать install.cmd под свои нужды, например создать менюшку при помощи команды CHOICE.
В общем, полная свобода творчества. И да, на Virustotal WinRAR SFX тоже проверку не проходит. Подозрительный, мол. Хотите - сами полностью перепаковывайте, главное учитывать, что WinRAR младше версии 6.0 не понимает тега <hide> в комментарии, а старше 6.02 - не поддерживает Windows XP.