Compare Revisions

Informationen zum Fehlercode SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED oder ERROR_SELF_SIGNED_CERT auf sicheren Websites und dessen Behebung.

Wenn Sie Firefox [[How do I tell if my connection to a website is secure?|mit einer Website verbinden, die sicher verschlüsselt ist,]] (d. h. mit einer Website, deren Internetadresse mit '''https://''' beginnt), muss Firefox prüfen, ob das von der Website vorgelegte Zertifikat gültig ist. Falls das Zertifikat nicht verifiziert werden kann, weist Firefox die Verbindung zur Website zurück und zeigt stattdessen eine Seite mit der Fehlermeldung „Warnung: Mögliches Sicherheitsrisiko erkannt“. Klicken Sie auf {button Erweitert}, um den spezifischen, von Firefox erkannten Fehler zu sehen. Dieser Artikel beschreibt, warum Sie den Fehlercode SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED oder ERROR_SELF_SIGNED_CERT in einer Fehlermeldung sehen und wie Sie dieses Problem beheben können. {note}Informationen über andere Fehlercodes auf der Seite mit der Fehlermeldung „Warnung: Mögliches Sicherheitsrisiko erkannt“ erhalten Sie unter [[What do the security warning codes mean?]] Bei Fehlerseiten mit dem Text ''Fehler: Gesicherte Verbindung fehlgeschlagen'' oder ''Kein Verbindungsversuch unternommen: Mögliches Sicherheitsproblem'' lesen Sie [[Secure connection failed and Firefox did not connect]].{/note} __TOC__ =Was bedeuten diese Fehlercodes?= Während Firefox eine sichere Verbindung zu einer Website aufbaut, muss diese ein Zertifikat einer vertrauenswürdigen [https://de.wikipedia.org/wiki/Zertifizierungsstelle Zertifizierungsstelle] vorweisen, um sicherzustellen, dass die hergestellte Verbindung verschlüsselt und der Benutzer mit der beabsichtigten Website verbunden ist. Sehen Sie auf einer Seite mit der Fehlermeldung „Warnung: Mögliches Sicherheitsrisiko erkannt“ nach einem Klick auf {button Erweitert} den Fehlercode SEC_ERROR_UNKNOWN_ISSUER oder MOZILLA_PKIX_ERROR_MITM_DETECTED, bedeutet dies, das bereitgestellte Zertifikat wurde von einer Zertifizierungsstelle ausgestellt, die Firefox nicht kennt und dem deshalb standardmäßig nicht vertraut werden kann.<br>[[Image:Fehlercode Mögliches Sicherheitsrisiko erkannt fx128]]<br> =Die Fehlermeldung wird auf mehreren sicheren Seiten angezeigt= Wenn Sie diese Fehlermeldung auf mehreren voneinander unabhängigen Websites sehen, ist es ein Indiz dafür, dass auf Ihrem System oder Netzwerk versucht wird, ein ungültiges Zertifikat einzuschleusen, das von Firefox nicht akzeptiert wird. In den meisten Fällen handelt es sich hierbei um Antivirenprogramme, die sichere Verbindungen überprüfen, oder um Schadsoftware, die das Originalzertifikat durch ein eigenes – ungültiges – Zertifikat ersetzt. Besonders der Fehlercode MOZILLA_PKIX_ERROR_MITM_DETECTED deutet darauf hin, dass Firefox ein Abfangen der Verbindung erkannte. ==Antivirenprogramme== Antivirenprogramme von Drittanbietern können Störungen mit sicheren Verbindungen in Firefox verursachen. {for winxp,win7,mac,linux}Versuchen Sie eine Neuinstallation, damit das Programm seine eigenen Zertifikate wieder in den vertrauenswürdigen Bereich von Firefox speichert.{/for} {for win8, win10} Wir empfehlen Ihnen, die Software des Drittanbieters zu deinstallieren und die von Microsoft für Windows zur Verfügung gestellte Sicherheitssoftware zu verwenden (den bereits im Betriebssystem für Windows 8 und Windows 10 integrierten [https://www.microsoft.com/windows/comprehensive-security Windows Defender]). Wenn Sie Ihre Drittanbietersoftware nicht deinstallieren möchten, versuchen Sie eine Neuinstallation, damit das Programm seine eigenen Zertifikate wieder in den vertrauenswürdigen Bereich von Firefox speichert. {/for} Nachstehend finden Sie alternative Lösungsvorschläge für häufig verwendete Sicherheitsprogramme: ==='''Avast/AVG'''=== In Sicherheitsprogrammen von Avast oder AVG können Sie die Überwachung von sicheren Verbindungen deaktivieren: #Öffnen Sie die Übersichtsseite von Avast oder AVG. #Gehen Sie zu {menu Menü} und klicken Sie auf {menu Einstellungen} ➔ {menu Schutz} ➔ {menu Wichtigste Schutzmodule}. #Scrollen Sie hinunter zum Abschnitt „Einstellungen des Schutzmoduls konfigurieren” und klicken Sie auf {menu Web-Schutz}. #Entfernen Sie das Häkchen neben der Einstellung {pref HTTPS-Scanning aktivieren}. #;{note}In älteren Produktversionen finden Sie diese Einstellung im {menu Menü} ➔ {menu Einstellungen} ➔ {menu Komponenten}. Klicken Sie dort neben {menu Web-Schutz} auf die Schaltfläche {button Anpassen}.{/note} Weitere Informationen erhalten Sie auf [https://support.avast.com/de-de/article/189/ dieser Supportseite] von Avast und im englischsprachigen [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ offiziellen Avast-Blog]. ==='''Bitdefender'''=== In Bitdefender-Sicherheitsprogrammen können Sie die Überwachung von sicheren Verbindungen deaktivieren: #Öffnen Sie die Übersichtsseite von Bitdefender. #Klicken Sie auf {menu Schutz} und im Abschnitt {menu Online-Gefahrenabwehr} auf {menu Einstellungen}. #Deaktivieren Sie die Einstellung {pref Verschlüsselter Web-Scan}. #;{note}In älteren Produktversionen wird diese Einstellung als {pref SSL scannen} bezeichnet. Sie finden diese unter {menu Module anzeigen} ➔ {menu Internet-Schutz}.{/note} Im Produkt ''Bitdefender Antivirus Free'' ist es nicht möglich, diese Funktion zu steuern. Wenn Sie Probleme beim Zugriff auf sichere Websites haben, können Sie stattdessen versuchen, Bitdefender über die Systemsteuerung mithilfe der englischsprachigen Anleitung [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html zu reparieren oder zu entfernen]. Für unternehmensübergreifende Bitdefender-Sicherheitsanwendungen erhalten Sie weitere Informationen auf der englischsprachigen [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender-Hilfeseite]. ==='''BullGuard'''=== In BullGuard-Sicherheitsprogrammen können Sie die Überwachung von sicheren Verbindungen auf bestimmten populären Websites wie Google, Yahoo und Facebook deaktivieren: #Öffnen Sie die Übersichtsseite von BullGuard. #Klicken Sie auf {menu Einstellungen} und wechseln Sie rechts oben zur Ansicht {pref Erweitert}. #Klicken Sie auf die Einstellungen {menu Antivirus} ➔ {menu Sicheres Surfen}. #Deaktivieren Sie die Option {menu Sichere Suchergebnisse anzeigen} für jene Websites, auf denen die Fehlermeldung angezeigt wird. ==='''ESET'''=== In ESET-Sicherheitsanwendungen können Sie versuchen, die {pref SSL/TLS-Protokollfilterung} kurzzeitig zu deaktivieren, um sie danach wieder zu aktivieren oder die Untersuchung von SSL-Verbindungen ganz zu unterbinden, wie es im [https://support.eset.de/kb3126/ Hilfeartikel von ESET] beschrieben wird. ==='''Kaspersky'''=== Betroffene Nutzer von Kaspersky-Produkten sollten ihr Sicherheitsprogramm auf die neueste verfügbare Version aktualisieren, denn Versionen ab Kaspersky 2019 enthalten bereits Maßnahmen zur Vermeidung dieses Problems. Anwender mit einem gültigen Kaspersky-Abonnement können mithilfe der „Update"-Links auf [https:///www.kaspersky.com/de/software-upgrade dieser Download-Seite von Kaspersky] kostenlos die aktuelle Version installieren (upgrade). Ansonsten können Sie die Überwachung von sicheren Verbindungen mit diesen Schritten deaktivieren: #Öffnen Sie die Übersichtsseite von Kaspersky. #Klicken Sie unten links auf {menu Einstellungen}. #Klicken Sie auf {menu Erweitert} und danach auf {menu Netzwerk}. #Wählen Sie im Abschnitt {menu Untersuchung von sicheren Verbindungen} die Option {pref Sichere Verbindungen nicht untersuchen} und bestätigen Sie die Änderung. #Starten Sie Ihr System anschließend neu, damit die Änderung wirksam wird. {for win8} ==„Family Safety”-Einstellungen bei Windows-Konten== Bei Windows-Konten, die mit Family Safety-Einstellungen gesichert wurden, können sichere Verbindungen bei bekannten Websites wie Google, Facebook und YouTube überwacht werden, indem die Zertifikate dieser Websites von Microsoft ersetzt wurden, um den Suchverlauf zu filtern und aufzuzeichnen. Auf der Microsoft-Seite [http://windows.microsoft.com/de-de/windows/family-features-remove-uninstall-faq ''Häufig gestellte Fragen''] erfahren Sie, wie Sie Family Safety für Windows-Konten deaktivieren können. Im [https://support.microsoft.com/de-de/kb/2965142#bookmark-2 Hilfeartikel von Microsoft] erfahren Sie, wie Sie die benötigten Zertifikate manuell für Windows-Konten installieren können. {/for} ==Überwachung/Filterung in Firmennetzwerken== Einige Programme zur Überwachung/Filterung des Internetverkehrs in Firmennetzwerken können Fehlermeldungen auf HTTPS-Seiten auslösen, indem sie die Website-Zertifikate durch ihre eigenen ersetzen. Falls Sie vermuten, dass dies Ihr Problem verursacht, wenden Sie sich bitte an Ihre IT-Abteilung, um die korrekte Konfiguration von Firefox in dieser Netzwerkumgebung zu erfragen und sicherzustellen, da unter Umständen zuerst das eingesetzte Zertifikat als vertrauenswürdig markiert werden muss. IT-Abteilungen erhalten weitere Informationen zur Vorgehensweise auf [https://wiki.mozilla.org/CA:AddRootToFirefox dieser englischsprachigen Wiki-Seite] von Mozilla. ==Schadprogramme== Schadprogramme, die den Internetverkehr von sicheren Verbindungen abfangen, können ebenfalls eine Fehlermeldung verursachen. Wie Sie gegen dieses Problem vorgehen können, erfahren Sie unter [[Troubleshoot Firefox issues caused by malware]]. =Die Fehlermeldung tritt nur auf einer bestimmten Website auf= Wenn diese Fehlermeldung nur auf einer bestimmten Website auftritt, ist dies ein Indiz dafür, dass der Internetserver nicht richtig konfiguriert wurde. Falls diese Fehlermeldung jedoch auf einer bekannten Website wie Google, Facebook oder bei Online-Banking angezeigt wird, sollten Sie mit den [[#w_die-fehlermeldung-wird-auf-mehreren-sicheren-seiten-angezeigt|zuvor beschriebenen Schritten fortfahren]]. ==Zertifikate, die von einer zu Symantec gehörenden Zertifizierungsstelle ausgestellt wurden== <!--Delayed? Discontinued? see discussion https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Nach mehreren Unregelmäßigkeiten mit Zertifikaten, die von Symantec-Root-Zertifizierungsstellen ausgestellt wurden, entziehen einige Browser-Anbieter (auch Mozilla) in ihren Produkten diesen Zertifikaten schrittweise das Vertrauen. Firefox vertraut keinen von Symantec ausgestellten Server-Zertifikaten mehr, einschließlich Zertifikaten, die unter den Marken GeoTrust, RapidSSL, Thawte und Verisign ausgestellt werden.<!-- In einem ersten Schritt wird Firefox 60 allen Zertifikaten nicht mehr vertrauen, die unmittelbar oder mittelbar von einer zu Symantec gehörenden Zertifizierungsstelle ausgestellt wurden (einschließlich aller Symantec-Marken GeoTrust, RapidSSL, Thawte und VeriSign) und deren Veröffentlichung vor dem 1. Juni 2016 liegt. In Firefox 63 wird dieser Vertrauensentzug unabhängig vom Ausstellungsdatum auf alle Symantec-Zertifikate ausgeweitet. --> Lesen Sie dazu auch den englischsprachigen Beitrag [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ Delaying Further Symantec TLS Certificate Distrust] im Mozilla Security Blog. Die Fehlermeldung lautet meistens MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, aber bei einigen Servern wird möglicherweise stattdessen SEC_ERROR_UNKNOWN_ISSUER angezeigt.<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 --> Wenn Sie auf eine solche Website stoßen, sollten Sie in jedem Fall die Betreiber der Website kontaktieren und sie über das Problem informieren. Mozilla empfiehlt den Betreibern der betroffenen Websites dringend, entsprechende Maßnahmen zu ergreifen, um diese Zertifikate zu ersetzen. Weitere Informationen und Hilfe erhalten Sie im englischsprachigen [https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates Blogbeitrag von DigiCert] und auf der Webseite [https://www.digicert.com/tools DigiCert Tools]. ==Fehlende Zwischen-Zertifikate== Auf einer Webseite mit einem fehlenden Zwischen-Zertifikat sehen Sie folgende Fehlerbeschreibung, wenn Sie auf der Fehlerseite auf die Schaltfläche {button Erweitert} klicken: {note}Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.<br>Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.<br>Eventuell muss ein zusätzliches Stammzertifikat importiert werden.{/note} Das Website-Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und die Zertifikatskette zu einer vertrauenswürdigen Zertifizierungsstelle konnte ebenfalls nicht nachgewiesen werden (ein sogenanntes „Zwischen-Zertifikat” fehlt). <br>Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie [https://www.ssllabs.com/ssltest SSL Labs] eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat. Kontaktieren Sie die Betreiber der Website, um sie über diesen Fehler zu informieren. ==Selbst signierte Zertifikate== Auf einer Website mit einem selbst signierten Zertifikat sehen Sie den Fehlercode ERROR_SELF_SIGNED_CERT und – nachdem Sie auf der Seite mit der Fehlermeldung auf die Schaltfläche {button Erweitert} geklickt haben – folgende Fehlerbeschreibung: {note}Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.{/note} Selbst signierten Zertifikaten, die von keinem vertrauenswürdigen Aussteller stammen, wird standardmäßig nicht vertraut. Vom Aussteller selbst signierte Zertifikate können Ihre Daten zwar abhörsicher machen, sagen aber nichts über die Identität der Gegenseite aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen. ==Die Warnung umgehen== {warning}'''Warnung:''' Sie sollten niemals eine Ausnahme für Zertifikate hinzufügen, die von einer größeren und bekannten Website oder von Kreditinstituten stammen – in diesem Fall liegt möglicherweise ein Kompromittierungsversuch der Verbindung durch Dritte vor.{/warning} Falls die Website es erlaubt, können Sie die Warnung umgehen und damit die Website besuchen, obwohl dem Zertifikat standardmäßig nicht vertraut wird: #Klicken Sie auf der Warnseite auf die Schaltfläche {button Erweitert}. #Klicken Sie auf {button Risiko akzeptieren und fortfahren}.