Compare Revisions
如何针对安全网站的错误码进行故障排除
Revision 135109:
Revision 135109 by wxie2016 on
Revision 159617:
Revision 159617 by wxie2016 on
Keywords:
加载,连接,禁止,阻止
加载,连接,禁止,阻止
Search results summary:
本文解释为什么HTTPS网站会遇到错误码“SEC_ERROR_UNKNOWN_ISSUER”以及如何进行故障排除。
本文解释为什么HTTPS网站会遇到错误码“SEC_ERROR_UNKNOWN_ISSUER”以及如何进行故障排除。
Content:
对于应该安全的网站(以"http'''s'''://"开始的URL),Firefox会验证其证书的有效性。如果证书的有效性无法确认,Firefox将停止连接并提示错误信息"[[What does "Your connection is not secure" mean?|连接不安全]]”。本文解释为什么会遇到错误码 “SEC_ERROR_UNKNOWN_ISSUER” 以及如何进行故障排除。
__TOC__
= 该错误码是什么意思? =
安全连接时,网站需要提供颁发自 [https://en.wikipedia.org/wiki/Certificate_authority certificate authority] 的证书以保证已连接至目标网站并且连接是加密的。如果有页面错误提示 "连接不安全" ,而点击 {button 高级} 后可以看到错误码 "SEC_ERROR_UNKNOWN_ISSUER" ,这意味着由于证书颁发者未知,所以Firefox默认连接不可信。
[[Image:Fx44 SEC_ERROR_UNKNOWN_ISSUER error]]
= 该错误码发生在多个安全网站 =
如果你在多个不关联的HTTPS网站都遇到这个问题,那么你的系统或网络处理连接和证书的方式受到Firefox的质疑。最常见的原因是安全管理软件对加密连接的扫描或恶意软件监听和替换网络证书。
== 防病毒产品 ==
一般地,如果安全管理软件带有扫描加密连接的功能,那么你可以重新安装该软件——也许该软件会重新把其证书加入Firefox信任列表。针对下列安全软件,可以尝试相应的解决方案:
=== Avast ===
针对Avast安全产品,你可以通过以下步骤禁止它对安全连接的拦截:
# 打开Avast面板。
# 找到 {menu 设置} > {menu 主动保护} 然后点击 {menu 网页防护} 旁边的 {button 定制} 。
# 取消(不勾选) {pref 打开HTTPS扫描} 设置并点击 {button OK} 确认。
更多详情参看 [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast Blog]。
=== Bitdefender ===
针对Bitdefender安全产品,你可以通过以下步骤禁止它对安全连接的拦截:
# 对 '''2016''' 版,点击 {menu 模块}。 <br>对 '''2015''' 版,点击 {menu 保护} 。
# 点击 {menu 网页防护} 。
# 取消 {pref 扫描SSL} 设置。
更多详情参看 [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender Support Center page].
=== Bullguard ===
针对Bullguard安全产品,你可以禁止它对流行网站如Google,Yahoo和Facebook等的安全连接的拦截:
# 打开Bullguard面板。
# 点击 {menu 防病毒设置} > {menu 浏览} 。
# 针对有错误提示信息的网站取消(不勾选) {menu 显示安全结果} 。
=== ESET ===
针对ESET安全产品,你可以按照说明 [http://support.eset.com/kb3126/ ESET’s support article] 打开和关闭 {pref SSL/TLS协议过滤} 或整体禁止它对安全连接的拦截。
=== Kaspersky ===
针对Kaspersky安全产品,你可以通过以下步骤禁止它对安全连接的拦截:
# 打开Kaspersky面板。
# 点击左下 {menu 设置} 。
# 点击 {menu 其它} 然后 {menu 网络}.
# 对 '''2016''' 版:在 {menu 扫描加密连接} 勾选 {pref 不扫描加密连接} 然后确认。<br>或者点击 {menu 高级设置} 来重新安装Kaspersky的证书:点击对话框中的按钮 {button 安装证书…} ,然后按照屏幕的提示进行。<br>对 '''2015''' 版:取消(不勾选){pref 扫描加密连接} 选项。
# 最后,重启系统来使设置生效。<br><br>对 '''更早的版本''',Kaspersky会为合格用户提供升级至最新版的服务,下载地址为 [http://www.kaspersky.com/product-updates Kaspersky product updates page]。升级后再执行上面的操作。
== Windows账户的家庭安全设置 ==
在微软Windows受家庭安全设置保护的账户下,对流行网站,如Google,Facebook和YouTube等的安全连接可能会受到拦截,其证书也会被替换为微软颁布的证书以进行搜索行为的过滤和记录。
请参阅 [http://windows.microsoft.com/en-us/windows/family-features-remove-uninstall-faq Microsoft FAQ page] 来了解如何关闭账户的家庭设置。{for win8, win10}如果你想手动安装缺失的证书,可以参看 [https://support.microsoft.com/en-us/kb/2965142#bookmark-2 Microsoft support article]。{/for}
== 来自企业网络的监控/过滤 ==
一些企业级网络监控/过滤产品也会用替换证书的方式拦截加密连接,这可能会触发HTTPS网站报错。
如果你怀疑自己遇到此类情况,请联系你的IT部门以确保Firefox设置正确,并能够在此类环境下正常工作,比如必要的证书应该放到Firefox的信任列表中。
== 恶意软件 ==
有些恶意软件对加密连接的拦截也会导致这个错误信息——参阅 [[Troubleshoot Firefox issues caused by malware]] 来了解如何处理恶意软件。
= 该错误码仅发生在某个特定网站 =
如果这个问题只发生在一个特定的网站上,那么原因通常是网络服务器设置不当。不过,当此问题网站是流行网站,如Google或Facebook,或是金融交易网站时,你应当参看 <!--note for localisers: adapt this link, it should point to the "该错误码发生在多个安全网站" section-->[[#w_the-error-occurs-on-multiple-secure-sites|该错误码发生在多个安全网站]]。
== 缺少中间证书 ==
在网站缺少中间证书时,在 "连接不安全" 的错误页面上点击 {button 高级} 会看到:
{note}由于发布者未知,所以证书不可信。<br>服务器可能未发送合适的中间证书。<br>或许需要额外的根证书。{/note}
网站的证书可能不是由可信任的发布者颁发,并且也未提供完整的可信证书链(缺少中间证书)。
<br>你可以把网站地址输入第三方工具,如 [https://www.ssllabs.com/ssltest SSL Labs' test page],
来测试网站设置是否正常。如果结果是“证书链问题:不完整”,那么意味着中间证书缺失。
你应该向该网站的拥有者报告这个问题。
== 自签名证书 ==
在网站使用自签名的证书时,点击 "连接不安全" 错误页面上的 {button 高级},你会看到如下错误信息:
{note}由于证书是自签名,所以不可信。{/note}
缺省状态下,由未知机构颁发的自签名证书不被信任。自签名证书可以保证数据不被监听,但是却未告知数据的接收方是谁。对于不公开的内部网,这不是问题,此时你可以忽略该警告信息。
== 绕过该警告 ==
{warning}'''警告:''' 绝不要为流行网站或金融交易网站添加证书例外——无效的证书此时意味者连接被第三方破坏。{/warning}
如果网站允许,你可以添加例外以便能够在证书缺省不被信任的情况下访问该网站:
# 在警告页,点击 {button 高级}。
# 点击 {button 添加例外…}。 ''添加安全例外'' 对话框会出现。
# 阅读该网站对问题的描述。你还可以点击 {button 显示…} 来详细审查不被信任的证书。
# 如果你确信可以相信该网站,请点击 {button 确认安全例外} 。
对于应该安全的网站(以"http'''s'''://"开始的URL),Firefox会验证其证书的有效性。如果证书的有效性无法确认,Firefox将停止连接并提示错误信息"[[What does "Your connection is not secure" mean?|连接不安全]]”。本文解释为什么会遇到错误码 “SEC_ERROR_UNKNOWN_ISSUER” 以及如何进行故障排除。
__TOC__
= 该错误码是什么意思? =
安全连接时,网站需要提供颁发自 [https://en.wikipedia.org/wiki/Certificate_authority certificate authority] 的证书以保证已连接至目标网站并且连接是加密的。如果有页面错误提示 "连接不安全" ,而点击 {button 高级} 后可以看到错误码 "SEC_ERROR_UNKNOWN_ISSUER" ,这意味着由于证书颁发者未知,所以Firefox默认连接不可信。
[[Image:Fx44 SEC_ERROR_UNKNOWN_ISSUER error]]
= 该错误码发生在多个安全网站 =
如果你在多个不关联的HTTPS网站都遇到这个问题,那么你的系统或网络处理连接和证书的方式受到Firefox的质疑。最常见的原因是安全管理软件对加密连接的扫描或恶意软件监听和替换网络证书。
== 防病毒产品 ==
一般地,如果安全管理软件带有扫描加密连接的功能,那么你可以重新安装该软件——也许该软件会重新把其证书加入Firefox信任列表。针对下列安全软件,可以尝试相应的解决方案:
=== Avast ===
针对Avast安全产品,你可以通过以下步骤禁止它对安全连接的拦截:
# 打开Avast面板。
# 找到 {menu 设置} > {menu 主动保护} 然后点击 {menu 网页防护} 旁边的 {button 定制} 。
# 取消(不勾选) {pref 打开HTTPS扫描} 设置并点击 {button OK} 确认。
更多详情参看 [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast Blog]。
=== Bitdefender ===
针对Bitdefender安全产品,你可以通过以下步骤禁止它对安全连接的拦截:
# 对 '''2016''' 版,点击 {menu 模块}。 <br>对 '''2015''' 版,点击 {menu 保护} 。
# 点击 {menu 网页防护} 。
# 取消 {pref 扫描SSL} 设置。
更多详情参看 [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender Support Center page].
=== Bullguard ===
针对Bullguard安全产品,你可以禁止它对流行网站如Google,Yahoo和Facebook等的安全连接的拦截:
# 打开Bullguard面板。
# 点击 {menu 防病毒设置} > {menu 浏览} 。
# 针对有错误提示信息的网站取消(不勾选) {menu 显示安全结果} 。
=== ESET ===
针对ESET安全产品,你可以按照说明 [http://support.eset.com/kb3126/ ESET’s support article] 打开和关闭 {pref SSL/TLS协议过滤} 或整体禁止它对安全连接的拦截。
=== Kaspersky ===
针对Kaspersky安全产品,你可以通过以下步骤禁止它对安全连接的拦截:
# 打开Kaspersky面板。
# 点击左下 {menu 设置} 。
# 点击 {menu 其它} 然后 {menu 网络}.
# 对 '''2016''' 版:在 {menu 扫描加密连接} 勾选 {pref 不扫描加密连接} 然后确认。<br>或者点击 {menu 高级设置} 来重新安装Kaspersky的证书:点击对话框中的按钮 {button 安装证书…} ,然后按照屏幕的提示进行。<br>对 '''2015''' 版:取消(不勾选){pref 扫描加密连接} 选项。
# 最后,重启系统来使设置生效。<br><br>对 '''更早的版本''',Kaspersky会为合格用户提供升级至最新版的服务,下载地址为 [http://www.kaspersky.com/product-updates Kaspersky product updates page]。升级后再执行上面的操作。
== Windows账户的家庭安全设置 ==
在微软Windows受家庭安全设置保护的账户下,对流行网站,如Google,Facebook和YouTube等的安全连接可能会受到拦截,其证书也会被替换为微软颁布的证书以进行搜索行为的过滤和记录。
请参阅 [http://windows.microsoft.com/en-us/windows/family-features-remove-uninstall-faq Microsoft FAQ page] 来了解如何关闭账户的家庭设置。{for win8, win10}如果你想手动安装缺失的证书,可以参看 [https://support.microsoft.com/en-us/kb/2965142#bookmark-2 Microsoft support article]。{/for}
== 来自企业网络的监控/过滤 ==
一些企业级网络监控/过滤产品也会用替换证书的方式拦截加密连接,这可能会触发HTTPS网站报错。
如果你怀疑自己遇到此类情况,请联系你的IT部门以确保Firefox设置正确,并能够在此类环境下正常工作,比如必要的证书应该放到Firefox的信任列表中。
== 恶意软件 ==
有些恶意软件对加密连接的拦截也会导致这个错误信息——参阅 [[Troubleshoot Firefox issues caused by malware]] 来了解如何处理恶意软件。
= 该错误码仅发生在某个特定网站 =
如果这个问题只发生在一个特定的网站上,那么原因通常是网络服务器设置不当。不过,当此问题网站是流行网站,如Google或Facebook,或是金融交易网站时,你应当参看 <!--note for localisers: adapt this link, it should point to the "该错误码发生在多个安全网站" section-->[[#w_the-error-occurs-on-multiple-secure-sites|该错误码发生在多个安全网站]]。
{for fx60}
== 证书由Symantec相关方发布 ==
随着多个由Symantec根证书机构颁发的证书不合规问题的暴露,包括Mozilla在内的浏览器提供商正在逐渐把Symantec相关的产品移出可信证书范围。作为第一步,Firefox 60不再信任2016-06-01之前来自Symantec根证书颁发机构及其链上的证书(包括所有Symantec品牌相关产品,GeoTrust、RapidSSL、Thawte和VeriSign)。在Firefox 63,该措施将扩展到所有Symantec证书,不论发布日期。
MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED是表示此类错误的基本代码,不过对有些服务器,你可能会看到错误代码SEC_ERROR_UNKNOWN_ISSUER。<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 -->无论如何,如果你访问的网站报了这样的错误,请通知其所有者此问题。我们强烈建议这些网站立即替换这些证书。
关于此问题的更多信息,请参看Mozilla博客帖 [https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/ 不要信任Symantec TLS证书]。
{/for}
== 缺少中间证书 ==
在网站缺少中间证书时,在 "连接不安全" 的错误页面上点击 {button 高级} 会看到:
{note}由于发布者未知,所以证书不可信。<br>服务器可能未发送合适的中间证书。<br>或许需要额外的根证书。{/note}
网站的证书可能不是由可信任的发布者颁发,并且也未提供完整的可信证书链(缺少中间证书)。
<br>你可以把网站地址输入第三方工具,如 [https://www.ssllabs.com/ssltest SSL Labs' test page],
来测试网站设置是否正常。如果结果是“证书链问题:不完整”,那么意味着中间证书缺失。
你应该向该网站的拥有者报告这个问题。
== 自签名证书 ==
在网站使用自签名的证书时,点击 "连接不安全" 错误页面上的 {button 高级},你会看到如下错误信息:
{note}由于证书是自签名,所以不可信。{/note}
缺省状态下,由未知机构颁发的自签名证书不被信任。自签名证书可以保证数据不被监听,但是却未告知数据的接收方是谁。对于不公开的内部网,这不是问题,此时你可以忽略该警告信息。
== 绕过该警告 ==
{warning}'''警告:''' 绝不要为流行网站或金融交易网站添加证书例外——无效的证书此时意味者连接被第三方破坏。{/warning}
如果网站允许,你可以添加例外以便能够在证书缺省不被信任的情况下访问该网站:
# 在警告页,点击 {button 高级}。
# 点击 {button 添加例外…}。 ''添加安全例外'' 对话框会出现。
# 阅读该网站对问题的描述。你还可以点击 {button 显示…} 来详细审查不被信任的证书。
# 如果你确信可以相信该网站,请点击 {button 确认安全例外} 。