Compare Revisions

讀取, 連結, 禁止, 封鎖

了解出現在 HTTPS 網頁的 SEC_ERROR_UNKNOWN_ISSUER、MOZILLA_PKIX_ERROR_MITM_DETECTED、ERROR_SELF_SIGNED_CERT 錯誤訊息及其解決方式。

當連線到一個應該使用安全連線的網站（網址以 "http'''s'''://" 開頭）時，Firefox 必須檢驗網站憑證是否有效。如果憑證無法被驗證，Firefox 會中斷與網站的連線，並顯示「您的連線並不安全。 這篇文章解釋為何您會在網站遇到錯誤代碼 "SEC_ERROR_UNKNOW_ISSUER"、"MOZILLA_PKIX_ERROR_MITM_DETECTED"、"ERROR_SELF_SIGNED_CERT"，以及排除錯誤的方式。 * [[What does "Your connection is not secure" mean?]] 一文會介紹其它「您的連線並不安全」的錯誤代碼內容。 __TOC__ = 錯誤代碼是什麼意思？ = 在加密連線中，網站需要提供一個經由受信任的 [https://zh.wikipedia.org/wiki/%E6%95%B0%E5%AD%97%E8%AF%81%E4%B9%A6%E8%AE%A4%E8%AF%81%E6%9C%BA%E6%9E%84 數位憑證認證機構] 驗證的憑證，以確保使用者是透過加密連線來連線到預期的目標。如果您看到 "您的連線並不安全" 的錯誤頁面，且當您按下 {button 進階} 後看到 "SEC_ERROR_UNKNOWN_ISSUER" 或 "MOZILLA_PKIX_ERROR_MITM_DETECTED" 的錯誤代碼，這表示憑證不是經由 Firefox 所知的數位憑證認證機構所驗證，因此預設不被信任。 [[Image:Fx44 SEC_ERROR_UNKNOWN_ISSUER error]] = 在多個安全連線的網站發生這個錯誤 = 如果您在多個不相關的 HTTPS 網站發生這個問題，這表示在您的系統或是網路上有人在攔截您的連線，並且置入不被 Firefox 信任的憑證。若 Firefox 偵測到連線被代理伺服器攔截，Firefox 就會顯示 "MOZILLA_PKIX_ERROR_MITM_DETECTED"。最常發生的情形是安全防護軟體掃描加密連線，或是惡意軟體竊聽並將合法網站的憑證置換為它的。 == 防毒軟體 == 一般來說，如果您的安全軟體包含掃描加密連線的功能，您可以試著重新安裝，會觸發軟體再次將憑證置於 Firefox 信任列表中。嘗試以下特定安全軟體的解決方案： === Avast === 您可以在 Avast 安全軟體中停用攔截安全連線： # 開啟您 Avast 應用程式的設定面板。 # 前往 {menu 選項} > {menu 設定} > {menu 元件} > {menu 主動防設} ，點擊 {menu 網頁防護} 旁的 {button 自訂}。 # 取消勾選 {menu 啟用 HTTPS 掃描} 設定然後點擊 {button OK} 儲存變更。 更多細節請參考 Avast 的 [https://support.avast.com/en-us/article/189/ 說明文件]。更多有關這個功能的資訊請參閱：[https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast 部落格]。 === Bitdefender === 您可以在 Bitdefender 安全軟體中停用攔截安全連線： # 開啟您 Bitdefender 應用程式的設定面板。 # '''2016''' 版的 Bitdefender 安全軟體，請點擊 {menu 模組}。<br>'''2015''' 版的 Bitdefender，請點擊 {menu 防護}。 # 點擊 {menu Web 防護}. # 關閉 {pref 掃描 SSL} 設定。 Bitdefender 相關產品，請參閱：[http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender 支援中心]。 === Bullguard === 您可以在 Bullguard 安全軟體中停用攔截特定主要網站如 Google、Yahoo 和 Facebook 的安全連線： # 開啟您 Bullguard 應用程式的設定面板。 # 點擊 {menu 防毒設定} > {menu 網頁瀏覽}。 # 取消勾選顯示錯誤訊息網站的 {menu 顯示安全結果} 選項。 === ESET === 您可以停用或重新啟用 ESET 安全軟體中 {pref 過濾 SSL/TLS 協定} 或依照 [http://support.eset.com/kb3126/ ESET 支援文章] 中所描述停用攔截安全連線。 === Kaspersky === 您可以在 Kaspersky 安全軟體中停用攔截安全連線： # 開啟您 Kaspersky 應用程式的設定面板。 # 點擊左下方的 {menu 設定}。 # 點擊 {menu 其他} 然後點擊 {menu 網路}。 # 若您使用 '''2016''' 版的 Kaspersky：在 {menu 掃描加密連線} 區塊，勾選 {pref 不要掃描加密連線} 選項並確認變更。<br>或者，您可以點擊 {menu 進階設定} 來重新安裝 Kaspersky 的憑證。在開啟的對話框中點擊 {button 安裝憑證…} 接著依照螢幕上的指示進行。<br>若您使用 '''2015''' 版的 Kaspersky：取消勾選 {pref 掃描加密連線} 選項。 # 最後，請重新開啟您的作業系統讓變動生效。<br><br>Kaspersky '''先前版本''' 的訂購使用者有權利升級到最新版，您可以在 [http://www.kaspersky.com/product-updates 卡巴斯基產品更新頁面] 下載及安裝。接著依照上述的步驟進行。 == Windows 帳戶中的家庭安全設定 == 在微軟 Windows 中，帳戶是被家庭安全設定所保護。熱門網站如 Google、Facebook 和 Youtube 的安全連線可能會被攔截，為了過濾和紀錄搜尋活動，這些網站的憑證會被置換為微軟所驗證的。 請參閱 [http://windows.microsoft.com/en-us/windows/family-features-remove-uninstall-faq 微軟常見問題網頁] 以了解如何關閉帳戶的家庭功能。{for win8, win10}若您想為受影響的帳戶手動安裝缺少的憑證，您可以參閱 [https://support.microsoft.com/en-us/kb/2965142#bookmark-2 微軟支援文章]。{/for} == 在企業網路中監控/過濾 == 有些在企業環境中的流量監控/過濾產品可能透過替換網站的憑證為企業的憑證，以達到攔截加密連線，此時可能會觸發安全性 HTTPS 網站的錯誤。 如果您懷疑是這種情形，請連絡您的 IT 部門以確保 Firefox 擁有正確的設定可以在這樣的環境中運行，像是先在 Firefox 信任列表中安裝必要的憑證。Mozilla 的 [https://wiki.mozilla.org/CA:AddRootToFirefox wiki 頁面] 會介紹 IT 部門處理的方式。 == 惡意軟體 == 某些形態的惡意軟體攔截加密網路流量可能造成這個錯誤訊息 - 請參閱 [[Troubleshoot Firefox issues caused by malware]] 這篇文章了解如何處理惡意軟體的問題。 = 錯誤只發生在某一個特定網站 = 如果您只在某一個特定網站發生這個問題，這種錯誤通常表示網站伺服器沒有正確的被設定。無論如何，如果您在合法的主要網站像是 Google、Facebook 或是金融交易網站上看到這個錯誤，你應該依照 <!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_uecoaogoeeaciooeiheookeaaoaougec|上述步驟]] 繼續。 {for fx60} == 由塞曼鐵克的從屬機構發行的憑證 == 繼越來越多由塞曼鐵克發行的憑證發生問題，包含 Mozilla 在內的許多瀏覽器商也逐漸在自家的產品中取消承認這些憑證。Firefox 60 第一槍也將不再信任由塞曼鐵克（及其品牌 GeoTrust、 RapidSSL、Thawte、VeriSign）於 2016-06-01 前所發行的憑證。Firefox 63 後，此項措施擴及所有不論何時塞曼鐵克發行的憑證。 雖然 MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED 是主要的錯誤訊息，但在某些網站上您可能會看到 SEC_ERROR_UNKNOWN_ISSUER。<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 -->這兩種情況，您可以跟網站管理員報告這個問題。我們強烈建議受影響的網站的營運商立即採取行動替換掉這些憑證。 更多訊息，請參考 Mozilla 的部落格文章 [https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/ Distrust of Symantec TLS Certificates]。 {/for} == 缺少中繼憑證 == 在缺少中繼憑證的網站，在您點擊「您的連線並不安全」錯誤頁面上的 {button 進階}，您會看到以下的錯誤描述： {note}憑證不受信任因為發行者憑證未知。<br>伺服器可能沒有送出合適的中繼憑證。<br>需要匯入額外的根憑證。{/note} 網站的憑證並非由受信任的數位憑證認證機構所驗證，也沒有提供完整的發行者鍊（也稱為缺少「中繼憑證」）。 <br>你可以使用第三方工具，像是 [https://www.ssllabs.com/ssltest SSL Labs 的測試頁面]，輸入網址來測試網站是否正確設定。如果回傳結果「憑證鍊問題：不完全」，則表示缺少合適的中繼憑證。 您應該連絡網站擁有者，提醒他們您在存取網站時有問題。 == 自我簽署憑證 == 在使用自我簽署憑證的網站，您會看到 ERROR_SELF_SIGNED_CERT 的錯誤訊息，且在您點擊「您的連線並不安全」錯誤頁面上的 {button 進階}，您會看到以下的錯誤描述： {note}憑證不受信任因為是自我簽署憑證{/note} 不是透過認可的數位憑證認證機構所驗證的自我簽署憑證預設是不受信任的。自我簽署憑證能確保您的資料不被竊聽，但不能確保收到資料的人是誰。通常在無法公開的內部網站會遇到這個問題，您可以對這類網站免去這項警告。 == 略過這項警告 == {warning}'''警告：''' 您永遠不該為合法的主要網站或金融交易網站增加憑證例外 - 此時無效的憑證可能表示您的連線正受到第三方的危害。{/warning} 如果允許，您可以增加例外以造訪網站，雖然它的憑證預設是不受信任的： # 在警告網頁，點擊 {button 進階}。 # 點擊 {button 增加例外…}。將顯示 ''增加安全例外'' 對話框。 # 閱讀敘述網站問題的文字。您可以點擊 {button 檢視…} 來更精確的檢視此不受信任的憑證。 # 如果您確認您想信任些網站，點擊 {button 確認安全例外}。