CityCat4

В существующем сертификате изменить информацию нельзя. При любых изменениях в сертификате он выпускается заново.

Самозаверенный сертификат для веба есть нечто бесполезное. Он нужен для отладки, для тестов, для корпоративного окружения. Никто же не будет ставить себе Ваш сертификат вручную, да еще доверие ему выставлять. Возьмите сертификат с LE, если не хотите разбираться, как это все работает и не хотите тратить денег.

Ну, здесь, конечно сбер лажанулся, но обычно такое сообщение означает, что Вас мониторят :) и пытаются подсунуть лажовый сертификат для сайта. Это обычная практика для корпоративных прокси... и для криворуких провайдеров, которые пытаются таким образом прогнуться перед РКН.

А причем тут тег "Цифровые сертификаты" и "HTTPS"?

LE сейчас выдает wildcard-сертификаты. Если доверяете ему, можете использовать. Это бесплатно.

Заведите свой CA - и делайте что хотите. Плюс - бесплатно. Минус - требует мозгов, знания того, что делаешь и установки корневого сертификата на каждого клиента.

IMHO, если у Вас есть денег на покупку school.ru - то наверное и на админа, разбирающегося в вопросах сертификатов найдется. Хотя конечно же это не мое дело :)

Можно, конечно попробовать добавлять все вторые уровни в SAN, но я так не делал никогда, потому что на корпоративном уровне свой CA неизмеримо проще.

Сертификат CA уже должен быть в доверенных - он автоматически пихается туда политикой, но разумеется это нужно проверить.
Выпустить сертификат для веб-сервера можно по щаблону "Веб-сервер". Вот где сгенерить запрос для передачи в CA в винде - это не подскажу, потому что все время генерю CSR на линухе

Нет понятия "технический домен". Домен, до его создания, вообще не существует, да и после создания - это просто сочетание букв. Платишь не за домен - платишь за то, что во всемирной базе (DNS) будет запись, что за сайтом www.nichego.net надо идти на IP 1.2.3.4, (а не на 3.4.5.66 или еще куда).

Для чисто обучения - можно выпустить свой сертификат или поднапрячь LE. Если одолеешь последний вариант - он лучше, несмортя на то, что я не люблю LE. Но будет возможность проверить "снаружи", не обьясняя про установку сертификата в корневые...

п. 1 Внести сертификат издателя в список доверенных CA.
п. 2 Если сертификат самозаверенный - создать СA и выпустить в нем сертификат, потом см. п. 1 :)

Можно купить сертификат
Можно попробовать получить его на LE
Можно дать юзеру инструкцию, как продолжить работу :)

Все зависит от того, насколько Вы готовы потратиться (временем, деньгами etc.). "Обойти" здесь никак не получится - выполняется все это у пользователя. Он подключается к ресурсу, получает его сертификат. Проверяет сертификат на валидность - в число проверок входит и тот факт, что сертификат должен быть выпущен CA, известным ему как корневое. Если это не так - сертификат недоверен и как раз возникает ERR_CERT_AUTHORITY_INVALID.

Сертификат можете показать? У комодо есть такой косяк - они выпускают сертификат не в корневом CA ессно, а в некоем промежуточном, а вот сертификат этого промежуточного - изволь найди сам :)

Что непонятного-то? Даже издателя проследили уже, правильно вообще-то мысль шла. Посмотреть издателя сертификата, найти сертификат издателя и поместить в хранилище доверенных сертификатов. Такое бывает, и нередко - выпускается сертификат в УЦ, сертификат которого отсутствует в доверенных, несмотря на то, что это например Комодо. У Комодо множество subCA, и не все их сертификаты распространяются. Нужно вручную найти сертификат этого subCA/

Продлить сертификат нельзя. Можно перевыпустить на новый интервал. Это будет стоить ровно столько же сколько и выпуск нового, разве только проверки комодо делать не будет. Перевыпуск необходимо делать в Вашей конторе, не у бывшего админа или еще кого - если конечно нет желания поделиться ключом сертфииката :)
Если заказывали прямо у комодо - и перевыпускать нужно на сайте комодо. Если у партнеров - например руцентр барыжит комодовскими сертификатами от своего subCA - то и перевыпускать у руцентра.

Если нужна будет консультация - мыло в профиле.

Нет выбора. Только LE. Больше бесплатных просто нет.

В настоящий момент - куда ходили (внешний урл, без детализации внутри сайта), когда ходили, сколько времени пробыли, какой обьем трафика передали-приняли. То, что называют метаданными. Перемещения внутри сайта (скажем урлы ютубовские) и прочее пока не видны.
Почему пока? Я тут как-то уже разьяснял, как работает механизм бампинга, когда https не спасает от раскрытия трафика на корпоративном прокси. Так вот у нас сейчас складывается примерно ситуация как в конторе, где руководство начинает закручивать гайки по пользованию тырнетом. Как правило это чем кончается? Бампинг для всех, белый список для особо недовольных. И если в конторе есть выход скажем с телефона ходить, то тут и такого хода не просматривается.

На сайте используются шифронаборы, которые считаются небезопасными, либо сайт не может договориться с браузером об используемых шифронаборах. Проявляется когда:
- на сайте чрезмерно заужен список шифронаборов, а браузер довольно старый
- или наоборот - на сайте только старые шифронаборы, а в ОС разрешены только новые

Привязки сертификата к IP нет. Инструкций о том, как выпустить самоподписанный сертификат для тестов - зиллион, там даже особо думать не надо (хотя вообще PKI - огромная тема и чем больше ей занимаешься, тем как всегда больше хренеешь :))

Любой нормальный CA раздает свои корневые сертификаты всеми возможными путями. Скорее всего его можно скачать прямо с сайта LE. Другой вопрос - как подсунуть корневой сертификат LE в список корневых там, где Вам надо.
А вот с этим могут быть проблемы, вплоть до невозможности.
Андроид:
При помещении своих корневых сертификатов всегда будет желтый треугольник в трее с надписью "Вас подслушивают!". Вы думаете с просто так почтовые клиенты с поддержкой X.509 (например R2Mail2) имеютсобственную базу CA-сертификатов
iOS:
Насколько помню, добавление проходит без базара, но было давно, яббл я не люблю и запросто могу ошибаться
WinMobile:
Невозможно. То есть невозможно в принципе добавить свой сертификат в корневые. От слова совсем. В старых-старых виндофонах можно было самому свернуть "пакет обновления" для винды путем танцев с преогромным бубном, в последних никак.
Для прохождения проверки валидности цепочка издателей должна быть прослежена до сертификата, который находится в хранилище доверенных корневых. Вопрос обычно в том, какое хранилище программа таковым считает и как в это хранилище добавить что-то.