Compara les revisions

Aprenda sobre os códigos de erro SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED e ERROR_SELF_SIGNED_CERT em sites HTTPS e como resolver.

Em [[How do I tell if my connection to a website is secure?|sites criptografados com segurança]], o Firefox precisa verificar se o certificado apresentado pelo site é válido. Se o certificado não for validado, o Firefox irá abortar a conexão com o site e exibir uma página de erro com a mensagem "Alerta: Potencial risco de segurança à frente". Ao clicar no botão {button Avançado}, você pode ver o erro específico que o Firefox encontrou. Este artigo explica porque pode aparecer o código de erro SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED ou ERROR_SELF_SIGNED_CERT em uma página de erro e como resolver. {note}Para outros códigos de erro na página de erro "Alerta: Potencial risco de segurança à frente", consulte o artigo [[What do the security warning codes mean?]]. Para as página de erro ''Falha na conexão segura'' ou ''Não conectou: Potencial problema de segurança'', consulte o artigo [[Secure connection failed and Firefox did not connect]].{/note} __TOC__ = O que este erro significa? = Durante uma conexão segura, um site precisa apresentar um certificado emitido por uma [https://pt.wikipedia.org/wiki/Autoridade_de_Certificação autoridade certificadora] confiável para garantir que o usuário está conectado com o site esperado e a conexão é criptografada. Se você clicar no botão {button Avançado} em uma página de erro "Alerta: Potencial risco de segurança à frente" e ver o código de erro SEC_ERROR_UNKNOWN_ISSUER ou MOZILLA_PKIX_ERROR_MITM_DETECTED, significa que o certificado fornecido foi emitido por uma autoridade certificadora não reconhecida pelo Firefox, portanto não pode ser aceito por padrão como confiável. [[Image:Fx128WarningSEC_ERROR_UNKNOWN_ISSUER]] = O erro ocorre em vários sites seguros = Se você encontrar este erro em vários sites seguros que não estão relacionados uns com os outros, isso indica que algo em seu sistema ou rede está interceptando a conexão e injetando certificados de uma forma que o Firefox não confia. As causas mais comuns são programas de segurança analisando conexões criptografadas ou softwares maliciosos interceptando suas conexões e substituindo certificados legítimos por falsos. Em particular, o código de erro MOZILLA_PKIX_ERROR_MITM_DETECTED indica que o Firefox detectou que a conexão foi interceptada. == Produtos antivírus == Software antivírus de terceiros podem interferir com as conexões seguras do Firefox.{for winxp,win7,mac,linux} Você pode tentar reinstalar, o que pode fazer com que o software coloque novamente seus certificados na lista de confiança do Firefox.{/for} {for win8, win10} Recomendamos desinstalar o software de terceiros e usar o software de segurança oferecido para Windows pela Microsoft: * Windows 8 e Windows 10 - Windows Defender ([https://www.microsoft.com/windows/comprehensive-security built-in]) Se você não quiser desinstalar o software de terceiros, pode tentar reinstalar, o que pode fazer com que o software coloque novamente seus certificados na lista de confiança do Firefox. {/for} Aqui estão algumas soluções alternativas que você pode tentar: === Avast/AVG === Nos produtos de segurança da Avast ou AVG, você pode desativar a interceptação de conexões seguras: # Abra o painel de controle do seu produto Avast ou AVG. # Vá para {menu Menu} e clique em {menu Configurações} > {menu Proteção} > {button Core Shields}. # Desça até a seção de configuração ''Configure shield'' e clique em {menu Web Shield}. # Desmarque a opção {menu Ativar escaneamento HTTPS} e confirme clicando em {button OK}. #;{note} Em versões mais antigas do produto, você encontrará a opção correspondente indo em {menu Menu} > {menu Configurações} > {menu Componentes} e clicando em {button Personalizar} próximo a {menu Web Shield}{/note} Leia mais detalhes no artigo de suporte da Avast [https://support.avast.com/en-us/article/189/ Managing HTTPS scanning in Web Shield in Avast Antivirus]. Mais informações a respeito deste recurso estão disponíveis neste [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ blog da Avast]. === Bitdefender === Nos produtos de segurança da Bitdefender, você pode desativar a interceptação de conexões seguras: # Abra o painel de controle na aplicação Bitdefender. # Vá até {menu Proteção} e, na seção {menu Prevenção contra ameaças online}, clique em {menu Configurações}. # Desative a opção {pref Encrypted Web Scan}. #;{note} Em versões mais antigas do produto, você pode encontrar a opção correspondente {pref Escanear SSL} indo em {menu Módulos} > {menu Proteção da web}{/note} No Bitdefender Antivirus Free, não é possível controlar esta configuração. Em vez disso, você pode tentar [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html reparar ou remover o programa] se estiver com problemas em acessar sites seguros. Para produtos corporativos Bitdefender, leia o artigo [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender Support Center]. === BullGuard === Nos produtos de segurança da BullGuard, você pode desativar a interceptação de conexões seguras em alguns dos grandes sites da web, como Google, Yahoo e Facebook: # Abra o painel de controle do aplicativo BullGuard. # Clique em {menu Configurações} e ative o modo {pref Avançado} no canto superior direito do painel. # Vá em {menu Antivírus} > {menu Navegação segura}. # Desmarque a opção {menu Mostrar resultados seguros} para os sites que estão apresentando mensagem de erro. === ESET === Em produtos de segurança ESET você pode tentar desativar e reativar a opção {pref Filtragem de protocolo SSL/TLS} ou desativar completamente a interceptação de conexões seguras como descrito neste [http://support.eset.com/kb3126/ artigo de suporte do ESET]. === Kaspersky === Usuários do Kaspersky afetados devem atualizar para a versão mais recente do seu produto de segurança, como Kaspersky 2019 e acima que contêm atenuações para este problema. A [https://www.kaspersky.com/downloads página de download do Kaspersky] inclui links de "Update", para os usuários com assinatura atual instalarem a versão mais recente gratuitamente. Ou então, você pode também desativar a interceptação de conexões seguras: # Abra o painel de controle da sua aplicação Kaspersky. # Clique em {menu Configurações} no canto inferior esquerdo. # Clique em {menu Adicional} e depois em {menu Rede}. # Na seção {menu Escanear conexões criptografadas}, marque a opção {pref Não escanear conexões criptografadas} e confirme esta alteração. # Finalmente, reinicie seu sistema para que as mudanças sejam aplicadas. {for win8} == Configurações de Segurança Familiar em contas do Windows == Em contas do Microsoft Windows protegidas pelas configurações de Segurança Familiar, conexões seguras a sites populares como o Google, Facebook e YouTube podem ser interceptadas e ter os certificados substituídos por outros emitidos pela Microsoft para que as buscas sejam filtradas e monitoradas. Leia esta [http://windows.microsoft.com/pt-br/windows/family-features-remove-uninstall-faq página de suporte da Microsoft] para aprender como desativar estas configurações para contas específicas. Caso você queira instalar manualmente os certificados da Microsoft faltando em contas afetadas, veja [https://support.microsoft.com/pt-br/kb/2965142#bookmark-2 este artigo de suporte da Microsoft]. {/for} == Monitoramento/Filtragem em redes corporativas == Alguns produtos de monitoramento/filtragem usados em ambientes corporativos podem interceptar conexões criptografadas, substituindo o certificado de um site por um próprio, causando problemas em sites seguros. Se você suspeita que este seja o caso, entre em contato com o seu departamento de TI para saber qual deve ser a configuração correta do Firefox para que ele funcione corretamente, já que pode ser necessário instalar um certificado no Firefox. Mais informações para os departamentos de TI sobre isso pode ser encontrado na Mozilla Wiki [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox]. == Softwares Maliciosos (Malware) == A interceptação de conexões seguras feitas por certos tipos de softwares maliciosos pode causar esta mensagem de erro. Leia o artigo [[Troubleshoot Firefox issues caused by malware]] para saber como lidar com este problema. = O erro ocorre apenas em um site em particular = Se você recebe este erro apenas em um determinado site, isso pode significar que o servidor do site não está configurado corretamente; o certificado do site pode não ter sido emitido por uma entidade certificadora conhecida e nenhuma relação com outras entidades certificadoras confiáveis foi fornecida (um tipo de certificado conhecido como “certificado intermediário” está faltando). Você deve entrar em contato com o responsável pelo site e informar o erro. == Certificado emitido por uma autoridade pertencente à Symantec == <!--Delayed? Discontinued? see discussion https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Após vir à tona várias irregularidades com certificados emitidos por autoridades raiz da Symantec, fabricantes de navegadores, incluindo a Mozilla, estão gradualmente removendo de seus produtos a confiança nesses certificados. O Firefox não confia mais em certificados de servidor emitidos pela Symantec, incluindo aqueles emitidos sob as marcas GeoTrust, RapidSSL, Thawte e Verisign.<!--Na primeira etapa, o Firefox 60 não confiará mais em certificados encadeados até autoridades raiz da Symantec (incluindo todas as marcas da Symantec: GeoTrust, RapidSSL, Thawte e VeriSign) que foram emitidos antes de 2016-06-01. No Firefox 63 esta remoção de confiança será extendida a todos os certificados da Symantec, independente da data de emissão.--> Para mais informações, consulte [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ esta publicação no blog da Mozilla]. MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED é o principal erro, mas em alguns servidores pode aparecer o código de erro SEC_ERROR_UNKNOWN_ISSUER.<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 --> Se você encontrar um site assim, deve entrar em contato com o proprietário do site para informar o problema. A Mozilla encoraja fortemente que operadores de sites afetados tomem ações imediatas para substituir esses certificados. Para obter mais auxílio, consulte esta [https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates publicação de blog do DigiCert] e esta página de [https://www.digicert.com/tools ferramentas do DigiCert]. == Certificado intermediário faltando == Em um site onde falta um certificado intermediário, aparece a seguinte descrição de erro após clicar em {button Avançado} na página de erro: {note}O certificado não é confiável porque o certificado emissor é desconhecido.<br>O servidor pode não estar enviando os certificados intermediários apropriados.<br>Um certificado raiz adicional pode precisar ser importado.{/note} O certificado do site pode não ter sido emitido por uma autoridade de certificação confiável, nem uma cadeia completa de certificados para uma autoridade confiável foi fornecida (um assim chamado "certificado intermediário" está faltando). <br>Você pode verificar se um site está configurado corretamente digitando um endereço do site em uma ferramenta de terceiros como a [https://www.ssllabs.com/ssltest página de teste da SSL Labs] (inglês). Se ela retornar o resultado ''"Chain issues: Incomplete"'', um certificado intermediário apropriado está faltando. Você deve entrar em contato com o proprietário do site que está com dificuldade de acesso para informar o problema. == Certificado auto-assinado == Em um site com um certificado auto-assinado, aparece o código de erro ERROR_SELF_SIGNED_CERT e a seguinte descrição de erro após clicar em {button Avançado} na página de erro: {note}O certificado não é confiável porque é auto-assinado.{/note} Um certificado auto-assinado, que não foi emitido por uma autoridade de certificação reconhecida, não é confiável por padrão. Certificados auto-assinados podem proteger seus dados de bisbilhoteiros, mas não dão nenhuma informação sobre quem está recebendo os dados. Isto é comum em sites de intranet que não estão disponíveis publicamente. Você pode desconsiderar o alerta em tais sites. == Desconsiderando o alerta == {warning}'''Atenção:''' Você nunca deve adicionar uma exceção de certificado de um site amplamente conhecido ou de sites onde transações financeiras são efetuadas – neste caso, um certificado inválido pode indicar que sua conexão está comprometida por terceiros.{/warning} Se o site permitir, você pode ignorar o alerta para acessar o site, apesar do certificado apresentado não ser confiável por padrão. # Na página de alerta, clique em {button Avançado}. # Clique em {button Aceitar o risco e continuar}.