Предыдущая попытка "выжить" Windows Seven была предпринята дражайшей корпорацией Microsoft несколько лет назад, когда на всех системах с очередным обновлением прилетала дружественная напоминалочка обновиться до Windows 10. Которая ещё и могла "самообновить" систему, пока пользователь отлучался в туалет. Передать весь мой ужас, когда я взирал на это у клиентов, невозможно. А сам я Windows Seven тогда просто не пользовался. :)
И вот, за год до окончания официальной поддержки, в Microsoft, видимо, решили окончательно не церемониться. Смерть любимой семёрочки может наступить быстрее ожидаемого.
Накатываю 100500 раз проверенный 64-битный дистриб Windows 7 Ultimate. Всё как по маслу, клиент активирует купленным ключиком. Дистрибу лет много, но всё всегда было пучком; из "обновлений" достаточно поставить IE11 для различных убогих программ, требующих веб-подсистему винды для своего функционирования. У меня самого таковых нет (стоит бородатый IE в поставке Win7 SP1), но корпоративные пользователи вынуждены пользоваться. Различные банк-клиенты, электронные подписи - вся эта жуткая бредятина, выдуманная травокурами. Как только что-то не то с IE и сертификатами - так ступор. Skype (убогий, конечно, нынче) тоже веб-подсистему использует, но в основном для показа рекламы. Вылазит какая-то ошибка, но сам Skype работает...
Первый звоночек: Google Chrome отказался показывать половину сайтов на HTTPS с криками "сертификат ай-яй-яй". Кстати, я предвидел абсолютно всё, о чём сейчас рассказываю. И что с SSL мы все ещё наедимся (у меня нет претензий к нужности шифрования трафика, но есть куча претензий к тому, как бездарно это всё реализовали). И что Google Chrome - неадекватная программа; на данном примере очень удобно это подтвердить, поскольку Firefox работал на рассматриваемой системе нормально. Просто потому, что у него собственная реализация поддержки всех этих несчастных сертификатов, а Chrome в этом вопросе безблагодатно предпочёл ориентироваться на винду.
На винду же ориентируется и малознакомый мне пакет Mango Office, который клиенту нужен был до зарезу. Который тоже пользуется IE-штучками для авторизации (про IE вообще надо забыть уж как лет десять, привет многочисленным банк-клиентам и прочей подобной шелухе). И если что-то с корневыми сертификатами в винде не так - всё, приехали.
На первый взгляд, проблема была решаема (не впервой), но всё оказалось печальнее. В журнале винды отпечатывалось:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> с ошибкой Данный сертификат не подходит для такого использования.
Это событие источника CAPI2 с кодом 4107. Ошибка может варьироваться: например, "Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле". Каждый раз - разный бред. В интернете полно способов решения конкретно этой проблемы, которые сводятся к запуску под админом команды certutil -urlcache * delete, очищение любых найденных папок с именем CryptnetUrlCache (я нашёл одну в винде и одну в профиле пользователя) и удаление ключа HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates со всеми подключами. Судя по всему, раньше это работало. Есть ещё обновление сертификатов KB3004394 - но не сработало и оно. Кстати, это обновление предназначается в том числе и для Windows 8 - что как бы намекает. :) Операции с установлением правильного времени на компьютере оставим для дебилов. После "благодатного очищения" система вновь пыталась загрузить вышеуказанный файл, чего-то там из него извлечь - и обламывалась. Я даже загрузил его сам и пытался шаманить руками - ничего не вышло.
Тут можно предположить, что конкретно на данной системе при установке "что-то произошло" (хотя это бред). Но у меня дома, на совершенно другом дистрибе Win7 (x86) - всё то же самое. Просто я не замечаю этого, потому что у меня не установлено ни одной дурацкой программы. Я не знаю, когда оно возникло, но меня оно за все годы и не волновало.
Мне сдаётся, что файл просто не подходит по формату для "семёрки". Или что-то ещё там накозлячено. Возможно, это "пасхалка" в дистрибе, задуманная ещё до всяких Windows 10 - зная Microsoft, удивляться не приходится. При этом, под виндой не удастся воспользоваться ни одной программой, которой требуются эти долбаные сертификаты. Корпоративные клиенты вынуждены устанавливать весь этот зоопарк, т.к. "криптобред" в конторской работе вошёл в жизнь плотно и без вазелина.
Выход тут понятный и безвариантный: установка Windows 10, где всё работает. Пока работает. Как раз вчера обслуживал комп с Windows 10. Неотключаемое обновление при перезагрузке; выпадение в осадок с ошибкой "Обновление не удалось установить; идёт откат". На протяжении 55 минут семь перезагрузок - специально засёк. :) Потом завелось. Да это ладно; тут самолёты начали из-за ПО падать. Добро пожаловать в настоящий компьютерный "рэволюшн". А других компьютеров у меня для вас нету. Впрочем, пока есть, коли нет нужды в дурацких криптосервисах. Пока - есть.
