Статьи

Як виправити помилку з кодом "SEC_ERROR_UNKNOWN_ISSUER" на захищених веб-сайтах

  1. антивірусні продукти
  2. Avast / AVG
  3. Bitdefender
  4. Bullguard
  5. ESET
  6. Kaspersky
  7. Налаштування Family Safety в облікових записах Windows
  8. Спостереження / фільтрація в корпоративних мережах
  9. шкідливі програми
  10. Сертифікат випущений центром, що належить Symantec
  11. Відсутня проміжний сертифікат
  12. самоподпісанний сертифікат
  13. обхід попередження

На веб-сайтах, з'єднання з якими має бути захищене (адреса починається з "http s: //"), Firefox повинен упевнитися, що сертифікат, наданий веб-сайтом, є дійсним. Якщо сертифікат перевірити неможливо, Firefox припинить підключення до веб-сайту і відобразить натомість сторінку з помилкою "Ваше з'єднання не захищене" "Попередження: потенційна загроза безпеці".

У цій статті пояснюється, чому ви можете бачити помилку з кодом "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" або "ERROR_SELF_SIGNED_CERT" на веб-сайтах і як її усунути.

Під час захищеного з'єднання веб-сайту необхідно представити сертифікат, випущений довіреним центром сертифікації , Для того, щоб Firefox переконався, що користувач підключений до необхідного сайту і з'єднання є зашифрованим. Якщо ви натисніть кнопку Додатково на сторінці з помилкою "Ваше з'єднання не захищене" "Попередження: потенційна загроза безпеці" і бачите код помилки "SEC_ERROR_UNKNOWN_ISSUER" або "MOZILLA_PKIX_ERROR_MITM_DETECTED", це означає, що представлений сертифікат був виданий центром сертифікації, який не відомий Firefox , і тому йому не можна довіряти за замовчуванням.

Якщо ви натисніть кнопку Додатково на сторінці з помилкою Ваше з'єднання не захищене Попередження: потенційна загроза безпеці і бачите код помилки SEC_ERROR_UNKNOWN_ISSUER або MOZILLA_PKIX_ERROR_MITM_DETECTED, це означає, що представлений сертифікат був виданий центром сертифікації, який не відомий Firefox , і тому йому не можна довіряти за замовчуванням

У разі, якщо ви стикаєтеся з цією проблемою на безлічі не пов'язаних один з одним HTTPS-сайтів, це вказує на те, що щось у вашій системі або мережі перехоплює ваше з'єднання і впроваджує сертифікати способом, якому не довіряє Firefox. У більшості випадків зашифровані з'єднання сканує антивірусне програмне забезпечення або слухає шкідлива програма, підміняючи легітимні сертифікати веб-сайтів на свої власні. Зокрема, це відображається як код помилки "MOZILLA_PKIX_ERROR_MITM_DETECTED", якщо Firefox може виявити, що з'єднання перехоплюється.

антивірусні продукти

Стороннє антивірусне програмне забезпечення може втручатися в захищені з'єднання Firefox. Ми рекомендуємо видалити ваше додаткове програмне забезпечення і використовувати замість цього захисне програмне забезпечення, пропоноване Microsoft для Windows:

Якщо ви не хочете видаляти своє додаткове програмне забезпечення, ви можете спробувати його перевстановити, що може змусити програмне забезпечення розташувати свої сертифікати в довірена сховище Firefox знову.

Нижче описані деякі альтернативні рішення, які ви можете спробувати:

Avast / AVG

У антивірусних продуктах Avast або AVG ви можете відключити перехоплення захищених з'єднань:

  1. Відкрийте настройки вашої програми Avast або AVG.
  2. Перейдіть в і клацніть>>.
  3. Прокрутіть вниз до розділу налаштувань керування у.
  4. Зніміть прапорець поруч з і підтвердіть це, натиснувши OK.
    У старіших версіях продукту ви знайдете відповідний параметр перейшовши через>> і клацнувши Налаштувати поруч з

Для отримання додаткової інформації прочитайте статтю Управління HTTPS-скануванням в Web Shield в антивірусі Avast на сайті підтримки Avast. Додаткова інформація про цю функцію доступна на цій сторінці блогу Avast .

Bitdefender

У антивірусних продуктах Bitdefender ви можете відключити перехоплення захищених з'єднань:

  1. Відкрийте настройки вашої програми Bitdefender.
  2. Перейдіть до меню і в розділі керування у.
  3. Вимкніть параметр Сканування захищеного з'єднання.
    У старіших версіях продукту ви знайдете відповідний параметр як Сканування SSL після переходу через>

У Bitdefender Antivirus Free цей параметр неможливо змінити. Замість цього ви можете спробувати відновити або видалити програму , Якщо у вас виникли проблеми з доступом до захищених веб-сайтів.

Для корпоративних продуктів Bitdefender, будь ласка, зверніться до цієї сторінці Центру підтримки Bitdefender .

Bullguard

У продуктах безпеки Bullguard можна відключити перехоплення захищених з'єднань на конкретних великих сайтах, таких як Google, Yahoo і Facebook:

  1. Відкрийте панель вашого застосування Bullguard.
  2. Клацніть по і включіть Розширений перегляд в правій верхній частині панелі.
  3. Перейдіть до>.
  4. Зніміть прапорець з параметра для тих сайтів, на яких відображається повідомлення про помилку.

ESET

У антивірусних продуктах ESET ви можете спробувати відключити і повторно включити фільтрацію SSL / TLS-протоколу або повністю відключити перехоплення захищених підключень, як описано в статті довідки ESET .

Kaspersky

Постраждалі користувачі Kaspersky, повинні оновитися до останньої версії їхнього продукту безпеки, наприклад до Kaspersky 2019 і вище, яка зменшує ризики цієї проблеми. Сторінка оновлення продукту Kaspersky містить посилання "оновити", які безкоштовно встановлять останню версію для користувачів з поточної підпискою.

В іншому випадку, ви можете також відключити перехоплення захищених з'єднань:

  1. Відкрийте настройки вашої програми Kaspersky.
  2. Натисніть на знизу зліва.
  3. Клацніть і потім.
  4. У розділі відзначте прапорець Не перевіряти зашифровані з'єднання і підтвердіть це зміна.
  5. Перезапустіть вашу систему, щоб зміни вступили в силу.

Налаштування Family Safety в облікових записах Windows

В облікових записах Microsoft Windows, захищених настройками Family Safety, захищені з'єднання на таких популярних веб-сайтах, як Google, Facebook і Youtube можуть перехоплюватися, а їх сертифікати підміняються сертифікатами, виданими Microsoft для фільтрації і записи пошукових запитів.

Ознайомтеся з цією сторінкою Microsoft ЧаВо , Щоб дізнатися, як відключити ці компоненти сім'ї для облікових записів. У разі, якщо ви хочете вручну встановити відсутні сертифікати для проблемних облікових записів, ви можете звернутися до цієї довідкової статті Microsoft .

Спостереження / фільтрація в корпоративних мережах

Деякі продукти для спостереження / фільтрації трафіку, що використовуються в корпоративних середовищах, можуть перехоплювати зашифровані з'єднання, підміняючи сертифікат веб-сайту своїм власним, що може при цьому викликати помилки на захищених HTTPS-сайтах.

Якщо ви підозрюєте, що це ваш випадок, зв'яжіться, будь ласка, з вашим ІТ-відділом, щоб дізнатися, як коректно налаштувати Firefox для того, щоб він правильно працював в такому оточенні, оскільки необхідний сертифікат, можливо, повинен бути спочатку поміщений в сховище довірених сертифікатів Firefox. Додаткову інформацію для ІТ-відділів про те, що необхідно для цього зробити, можна знайти на сторінці Mozilla Wiki CA: AddRootToFirefox .

шкідливі програми

Деякі види шкідливих програм, перехоплюючих зашифрований веб-трафік, можуть викликати подібне повідомлення про помилку - зверніться до статті Усунення проблем Firefox, викликаних шкідливими програмами , Щоб дізнатися про те, як вирішити проблеми з шкідливими програмами.

У тому випадку, якщо ви стикаєтеся з цією проблемою тільки на конкретному сайті, цей тип помилки зазвичай вказує на те, що веб-сервер налаштований неправильно. Проте, якщо ви бачите цю помилку на справжніх великих сайтах, таких як Google або Фейсбук, або сайтах, на яких проводяться фінансові операції, ви повинні виконати дії, описані вище .

Сертифікат випущений центром, що належить Symantec

Після безлічі виявлених збоїв з сертифікатами, випущеними кореневими центрами сертифікації Symantec, виробники браузерів, включаючи Mozilla, поступово прибирають довіру до цих сертифікатах зі своїх продуктів. В якості першого кроку, Firefox версії 60 більше не буде довіряти ланцюжках сертифікатів, які сходять до кореневих центрів сертифікації Symantec (включаючи всі бренди Symantec: GeoTrust, RapidSSL, Thawte і VeriSign) і були випущені до 1 червня 2016 р Firefox версії 63 видалення довіри буде розширено на всі сертифікати Symantec, незалежно від їх дати випуску.

Основною помилкою буде MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, але на деяких серверах ви можете побачити замість цього код помилки SEC_ERROR_UNKNOWN_ISSUER. У будь-якому випадку, коли ви проходите через такий сайт, ви повинні зв'язатися з власниками сайту для того, щоб інформувати їх про цю проблему. Ми настійно рекомендуємо операторам порушених сайтів провести негайне дію по заміні цих сертифікатів.

Для отримання додаткової інформації про цю проблему, прочитайте пост Недовіра TLS-сертифікатів Symantec в блозі Mozilla.

Відсутня проміжний сертифікат

На сайті з відсутнім проміжним сертифікатом ви побачите наступний опис помилки після того, як керування у Додатково на сторінці помилки:

До сертифіката немає довіри, так як сертифікат його видавця невідомий.
Сервер міг не відправити відповідні проміжні сертифікати.
Може знадобитися імпортувати додатковий кореневий сертифікат.

Сертифікат веб-сайту міг не бути виданий довіреною центром сертифікації, або не було надано повна ланцюжок сертифікатів до довіреної центру сертифікації (відсутній так званий "проміжний сертифікат").
Ви можете перевірити, що сайт налаштований правильно, ввівши адресу веб-сайту в інструмент стороннього виробника, наприклад на тестовій сторінці SSL Labs . Якщо він повертає результат "Chain issues: Incomplete", значить належний проміжний сертифікат відсутній. Вам слід зв'язатися з власниками веб-сайту, на якому ви відчуваєте проблеми з доступом, щоб повідомити їм про цю проблему.

самоподпісанний сертифікат

На сайті з самоподпісанного сертифікатом ви побачите код помилки ERROR_SELF_SIGNED_CERT і подальшим описом помилки після того, як ви клацнете по Додатково на сторінці помилки:

До сертифіката немає довіри, так як він є самоподпісанного.

До самоподпісанного сертифікату, який був виданий невизнаним центром сертифікації, за замовчуванням немає довіри. Самоподпісанного сертифікати можуть забезпечити захист ваших даних від прослуховування, але вони нічого не говорять про те, хто є одержувачем даних. Це характерно для інтранет-сайтів, які не доступні для широкого загалу, і ви можете обійти попередження для таких сайтів.

обхід попередження

Попередження: Вам ніколи не слід додавати виключення сертифіката для широко відомих веб-сайтів або сайтів, де мова йде про фінансові транзакції - в цьому випадку недійсний сертифікат може бути індикатором того, що ваше підключення скомпрометовано третьою стороною.

Якщо веб-сайт це допускає, ви можете обійти попередження для того, щоб відвідати сайт, не дивлячись на те, що сертифікат не є довіреною за замовчуванням:

  1. На сторінці з попередженням натисніть Додатково.
  2. Клацніть Додати виняток .... З'явиться діалогове вікно Додати виняток безпеки.
  3. Прочитайте текст, що описує проблеми з веб-сайтом. Ви можете також клацнути Переглянути ... для того, щоб більш ретельно вивчити недовірених сертифікат.
  4. Клацніть Підтвердити виняток безпеки, якщо впевнені. що хочете довіряти сайту.
  1. На сторінці з попередженням натисніть кнопку Додатково.
  2. Клацніть Підтвердити ризик і продовжити.

Новости