Compare Revisions

certificate error, SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED

了解 Firefox 安全错误代码的含义及安全解决方案，包括杀毒软件、网络连接和证书问题的处理方法。

Firefox 会检查网站的安全证书，以确保网站合法且您的连接已被[[如何判断与网站的连接是否安全？|加密]]。若证书无法通过验证，Firefox 将终止连接并显示 '''“警告：存在潜在安全风险”''' 页面。 本文解释了最常见的相关错误代码（SEC_ERROR_UNKNOWN_ISSUER、MOZILLA_PKIX_ERROR_MITM_DETECTED 和 ERROR_SELF_SIGNED_CERT）的含义，以及如何排查这些问题。请参阅 [[What do the security warning codes mean?]]，了解其他“警告：存在潜在安全风险”错误代码的相关信息。 {note}'''注意：'''在最新版本的 Firefox 中，出于安全考虑，部分证书错误已无法被绕过。如果您未看到 {button 接受风险并继续} 按钮，请参阅 [[#w_when-you-cant-bypass-the-warning|无法绕过警告时的处理方法]] 章节。{/note} __TOC__ = 理解错误代码 = # 在警告页面，点击 {button 高级…}。 # 查看显示的错误代码。 # 如果您看到： #* SEC_ERROR_UNKNOWN_ISSUER 或 MOZILLA_PKIX_ERROR_MITM_DETECTED：证书由不受信任的机构颁发。 #* ERROR_SELF_SIGNED_CERT：网站使用了自签名证书。 ;[[Image:Fx128WarningSEC_ERROR_UNKNOWN_ISSUER]] = 如果错误出现在多个安全网站上 = 这通常意味着您的设备或网络上有东西正在拦截安全连接并替换网站证书。常见原因： * 杀毒软件扫描加密连接 * 企业网络监控工具 * 恶意软件 == 检查杀毒软件设置 == === Avast/AVG === # 打开 Avast 或 AVG 控制面板。 # 进入 {menu 菜单} → {menu 设置} → {menu 保护} → {menu 核心防护}。 # 在 {menu 网页防护} 下，取消勾选 {button 启用 HTTPS 扫描}。 #;在旧版本产品中，您可以通过 {menu 菜单} > {menu 设置} > {menu 组件}，然后点击 {menu 网页防护} 旁的 {button 自定义} 找到对应选项。 # 确认并重启 Firefox。 {note}详情请参阅 Avast 支持文章 [https://support.avast.com/en-us/article/189/ 管理 Avast 杀毒软件网页防护中的 HTTPS 扫描]。更多关于此功能的信息请查看 [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast 博客]。{/note} === Bitdefender === # 打开 Bitdefender 控制面板。 # 进入 {menu 保护} → {menu 在线威胁预防} → {menu 设置}。 # 关闭 {pref 加密网页扫描} 设置。 #;在旧版本产品中，您可以在 {menu 模块} > {menu 网页保护} 中找到标为 {pref 扫描 SSL} 的对应选项。 {note}在 Bitdefender 免费版中无法控制此设置。若访问安全网站遇到问题，可尝试 [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html 修复或卸载程序]。{/note} 企业版 Bitdefender 产品请参考 [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender 支持中心页面]。{/note} === Bullguard === # 打开 Bullguard 控制面板。 # 进入 {menu 设置} → {pref 高级} → {menu 杀毒软件}。 # 在 {menu 安全浏览} 部分，为显示错误的网站取消勾选 {menu 显示安全结果} 选项。 === ESET === 按照 [http://support.eset.com/kb3126/ ESET 支持文章] 的步骤禁用并重新启用 SSL/TLS 协议过滤。 === Kaspersky === # 打开 Kaspersky 控制面板。 # 进入 {menu 设置} → {menu 附加} → {menu 网络}。 # 在 {menu 加密连接扫描} 中，选择 {pref 不扫描加密连接}。 # 重启系统。 {note}受影响的 Kaspersky 用户应升级至最新版本安全产品，因为 Kaspersky 2019 及以上版本包含此问题的缓解措施。当前订阅用户可通过 [https://www.kaspersky.com/downloads Kaspersky 下载页面] 的"更新"链接免费安装最新版本。{/note} === 检查企业网络拦截 === 如果您在使用工作网络，IT 部门可能需要将拦截证书添加到 Firefox 的信任存储中。操作说明参见 [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox]。 === 扫描恶意软件 === 某些恶意软件会拦截安全连接。详见 [[Troubleshoot Firefox issues caused by malware]]。 = 如果错误仅出现在单个网站 = 可能原因： * 服务器配置错误 * 缺少中间证书 * 自签名证书 若该网站属于您，请使用 [https://www.ssllabs.com/ssltest SSL Labs] 进行测试，并修正所有“证书链问题：不完整”的结果。 = 无法绕过警告时 = 以下情况不会显示"接受风险并继续"： * 网站使用了 HTTP 严格传输安全（HSTS） * 证书存在特定严重错误 * 您的 Firefox 受企业策略管理且已禁用绕过功能 对于重要网站（银行、邮箱服务商），绝不允许绕过，因为这可能表示您的连接已遭破坏。 = 关于永久性例外 = Firefox 不允许为大多数网站设置永久证书例外，尤其是公共互联网网站。对于本地网络网站（LAN），最安全的方法是： * 安装来自可信机构的有效证书 * 或手动将服务器证书添加到 Firefox 的证书存储中 {warning}'''警告：'''永久性例外会降低安全性。仅限在内部可控网络中使用。{/warning} = 绕过警告（当可用时） = 如果 Firefox 允许： # 在警告页面，点击 {button 高级…}。 # 点击 {button 接受风险并继续}。 = 相关文章 = *[[Fix secure connection failed errors in Firefox]] *[[Troubleshoot Firefox issues caused by malware]] *[[What do the security warning codes mean?]] *[[Troubleshoot time-related errors on secure websites]]