Firefox повинен перевіряти чинність сертифіката, наданого захищеними шифруванням вебсайтами (адреса починається з "https://"). Якщо сертифікат перевірити неможливо, Firefox зупинить з'єднання з таким вебсайтом та покаже сторінку помилки "Обережно: Попереду ймовірна загроза безпеки" замість переходу на сайт. Натиснувши кнопку , ви можете переглянути конкретну помилку Firefox.
Ця стаття пояснює, чому ви можете бачити коди помилок SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED або ERROR_SELF_SIGNED_CERT на сторінці помилки та як розв'язати цю проблему.
Зміст
Що означає цей код помилки?
Під час захищеного з'єднання, вебсайт зобов'язаний надати сертифікат, який випущений для нього акредитованим центром сертифікації з метою гарантування, що користувач з'єднається саме з вказаним сайтом та що з'єднання є зашифрованим. Якщо, натиснувши кнопку на сторінці помилки "Обережно: Попереду ймовірна загроза безпеки", ви бачите код помилки SEC_ERROR_UNKNOWN_ISSUER або MOZILLA_PKIX_ERROR_MITM_DETECTED, це означає, що наданий сертифікат було випущено невідомим для Firefox центром сертифікації, тому, Firefox типово не довіряє таким сертифікатам.
Помилка трапляється на кількох захищених сайтах
Якщо ви отримуєте цю проблему на кількох непов'язаних HTTPS-сайтах, то це свідчить про те, що у вашій системі чи мережі є щось, що перехоплює зашифроване з'єднання та виконує з ним певні маніпуляції. Найрозповсюдженішим випадком є безпекове програмне забезпечення, що сканує зашифровані підключення або шкідливе програмне забезпечення, перехоплює що підміняє чинні сертифікати своїми власними для обходу шифрування. Зокрема, код помилки MOZILLA_PKIX_ERROR_MITM_DETECTED свідчить про виявлене Firefox перехоплення з'єднання.
Антивіруси
Стороннє антивірусне програмне забезпечення може перешкоджати безпечному з'єднанню Firefox. Ви можете спробувати перевстановити його, що може призвести, до розміщення програмним забезпеченням своїх сертифікатів у сховищі, якому Firefox буде знову довіряти.
Ми рекомендуємо видалити стороннє програмне забезпечення та користуватися безпековим програмним забезпеченням, пропонованим Microsoft для Windows:
- Windows 8 та Windows 10 - Windows Defender (вбудований)
Якщо ви не хочете видаляти стороннє програмне забезпечення, ви можете спробувати його перевстановити, що може призвести, до розміщення програмним забезпеченням своїх сертифікатів у сховищі, якому Firefox буде знову довіряти.
Ось кілька альтернативних способів розв'язку проблеми, які ви можете спробувати:
Avast/AVG
У безпекових продуктах, Avast чи AVG, ви можете вимкнути перехоплення захищених з'єднань:
- Відкрийте панель керування свого застосунку Avast чи AVG.
- Перейдіть до та натисніть > > .
- Гортайте вниз до розділу Налаштувати захист та натисніть .
- Приберіть позначку біля Enable HTTPS Scanning та підтвердьте свій вибір натисканням кнопки .
- У старіших версіях продукту ви знайдете відповідний параметр, коли перейдете > > та натиснете навпроти
Перегляньте статтю підтримки Avast Managing HTTPS scanning in Web Shield in Avast Antivirus для докладнішого ознайомлення. Детальніше про цю функцію написано у цьому блозі Avast.
Bitdefender
У безпекових продуктах Bitdefender ви можете вимкнути перехоплення захищених з'єднань:
- Відкрийте панель керування вашої програми Bitdefender.
- Перейдіть до та в розділі натисніть .
- Перемикачем, вимкніть параметр Encrypted Web Scan.
- У старіших версіях продукту ви знайдете відповідний параметр за назвою Scan SSL коли ви перейдете до >
У Bitdefender Antivirus Free керувати цим параметром неможливо. Натомість, можете спробувати полагодити або видалити програму коли у вас є проблеми з доступом до захищених вебсайтів.
Щодо інформації, про корпоративні продукти Bitdefender, будь ласка, зверніться до цієї сторінки центру підтримки Bitdefender.
Bullguard
У безпекових продуктах Bullguard ви можете вимкнути перехоплення захищених з'єднань на певних відомих вебсайтах, як-от Google, Yahoo та Facebook:
- Відкрийте панель керування свого застосунку Bullguard.
- Натисніть та увімкніть режим Advanced у правому верхньому куточку панелі.
- Перейдіть до > .
- Приберіть позначку з параметра для тих вебсайтів, на яких з'являється повідомлення про помилку.
ESET
У безпекових продуктах ESET ви можете спробувати вимкнути та повторно ввімкнути параметр SSL/TLS protocol filtering чи повністю вимкнути перехоплення захищених з'єднань як описано у цій статті підтримки від ESET.
Kaspersky
Користувачі Kaspersky, які зіткнулися з цією проблемою, повинні оновити його до найновішої версії свого безпекового продукту, оскільки, Kaspersky 2019 і новіші, містять часткове розв'язання цієї проблеми. Сторінка завантажень Kaspersky містить посилання "update", після натискання на яке, буде встановлено найновішу, безплатну для поточних передплатників, версію.
У іншому випадку, ви можете вимкнути перехоплення захищених з'єднань:
- Відкрийте панель керування свого застосунку Kaspersky.
- Унизу ліворуч натисніть .
- Натисніть , потім .
- У розділі встановіть позначку біля параметра Do not scan encrypted connections та підтвердьте цю зміну.
- Після цього перезапустіть вашу систему, щоб застосувати внесені зміни.
Налаштування безпеки родинної групи в облікових записах Windows
В облікових записах Microsoft Windows, захищених за допомогою налаштувань "Безпеки родинної групи", захищені з'єднання з популярними вебсайтами, як-от Google, Facebook чи YouTube, можуть бути перехопленими, а їхні сертифікати замінені сертифікатами, виданими Microsoft задля фільтрування та записування пошукової активності.
Прочитайте ЧаПи від Microsoft про те, як вимкнути ці сімейні функції. У випадку, якщо ви бажаєте вручну встановити відсутні сертифікати для постраждалих облікових записів, прочитайте цю статтю підтримки від Microsoft.
Стеження/фільтрування у корпоративних мережах
Деякі продукти стеження/фільтрування трафіку в корпоративних мережах можуть перехоплювати зашифровані підключення шляхом підміни сертифікатів вебсайтів своїми власними, що, своєю чергою, може призвести до помилок перегляду на безпечних HTTPS-сайтах.
Якщо ви підозрюєте, що причина саме у цьому, зверніться до відділу ІТ і налаштуйте Firefox відповідним чином для роботи у такому середовищі. Можливо, спершу, необхідно буде розмістити потрібний сертифікат у сховищі, якому Firefox буде довіряти. Детальніша інформація, для IT відділів, як діяти у таких випадках знаходиться на сторінці Mozilla Wiki CA:AddRootToFirefox.
Зловмисні програми
Деякі типи зловмисних програм перехоплюють зашифрований інтернет-трафік та можуть призвести до появи повідомлення про помилку — зверніться до статті Чи спричинені мої проблеми з Firefox шкідливими програмами, щоб дізнатися, як боротися із проблемами, пов'язаними зі зловмисним програмним забезпеченням.
Помилка виникає лише на одному певному сайті
Якщо ви отримуєте цю помилку лише на одному певному сайті, найчастіше, це свідчить про те, що вебсервер налаштовано неправильно. Однак, якщо ви бачите цю помилку на великому популярному сайті, наприклад, Google чи Facebook, або на сайті, де відбуваються фінансові трансакції — ви повинні виконати настанови з попереднього розділу .
Сертифікат, виданий органом, що належить Symantec
Після виявлення ряду порушень з сертифікатами, виданих кореневими органами Symantec, видавці браузерів, включно з Mozilla, поступово переходять до недовіри цим сертифікатам у своїх продуктах. Firefox більше не буде довіряти серверним сертифікатам, виданим Symantec, включно з сертифікатами, які видано від імені GeoTrust, RapidSSL, Thawte та Verisign. Для детальнішого ознайомлення, перегляньте цей допис у блозі Mozilla.
MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED буде найчастішою помилкою, але, для деяких серверів, замість неї, ви можете бачити код помилки SEC_ERROR_UNKNOWN_ISSUER. Якщо ви натрапили на такий сайт, вам слід зв’язатись із власниками вебсайту, щоб повідомити їх про проблему.
Mozilla наполегливо рекомендує операторам постраждалих сайтів негайно вжити заходів щодо заміни цих сертифікатів. Докладніше у цьому дописі блогу DigiCert і в DigiCert Tools.
Відсутній проміжний сертифікат
На сайті із відсутнім проміжним сертифікатом ви можете побачити наступний опис помилки після натискання кнопки на сторінці помилки:
Сервер міг не відправити належні проміжні сертифікати.
Можливо потрібно буде імпортувати додатковий кореневий сертифікат.
Можливо вебсайту не був виданий сертифікат акредитованим центром сертифікації або не надано повний ланцюжок сертифікатів до акредитованого центру сертифікації (відсутній так званий "проміжний сертифікат").
Ви можете перевірити правильність конфігурації сайту, ввівши вебадресу до стороннього інструменту, наприклад до цієї тестової сторінки SSL Labs. Якщо у відповідь ви отримали результат "Chain issues: Incomplete", це означає, що чинний проміжний сертифікат відсутній. Зверніться до власника проблемного сайту та повідомте його про труднощі із доступом.
Самопідписаний сертифікат
На сайті із самопідписаним сертифікатом ви можете побачити код помилки ERROR_SELF_SIGNED_CERT та цей опис після натискання кнопки на сторінці помилки:
Типово, самопідписаний сертифікат, який не засвідчений акредитованим центром сертифікації, не може бути довіреним. Самопідписані сертифікати захищатимуть ваші дані від перехоплення, проте вони нічого не повідомлятимуть про одержувача цих даних. Користування самопідписаними сертифікатами характерно для внутрішніх сайтів, недоступних публічно, тож, ви можете обходити це повідомлення для цих сайтів.
Обхід попередження
Якщо сайт дозволятиме, спробуйте обійти попередження, щоби мати можливість відвідати такий сайт, попри недовіру до наданого ним сертифікату:
- На сторінці з попередженням натисніть .
- Натисніть .
