Co znamenají kódy u bezpečnostních varování?

Když se Firefox připojuje k zabezpečené webové stránce (její URL začíná na HTTPS), musí ověřit, že certifikát předložený webovou stránkou je platný a že šifrování je dostatečně silné, aby náležitě chránilo vaše soukromí. Jestliže se toto ověřit nedá, Firefox ukončí spojení s webovou stránkou a zobrazí chybové hlášení s textem Varování: možné bezpečnostní riziko.

mozne-bezpecnostni-riziko-fx92mozne-bezpecnostni-riziko

Kliknutím na tlačítko Rozšířené… zobrazíte kód chyby a další informace o chybě. V tomto článku jsou popsány ty často se vyskytující.

Poznámka: Pokud vám Firefox zobrazuje chybové hlášení Chyba zabezpečeného spojení nebo Nepřipojeno: Možný bezpečnostní problém, přečtěte si článek Řešení chybových hlášení „Chyba zabezpečeného spojení“ a „Nepřipojeno“.

Co dělat, když se objeví tato chyba?

Když se vám zobrazí chybové hlášení Varování: možné bezpečnostní riziko, můžete:

  • kontaktovat vlastníka stránky a požádat ho, aby napravil svůj certifikát
  • kliknout na Zpátky (doporučeno) nebo navštívit jiný web
  • pokud jste v podnikové síti nebo používáte antivirový software, požádat o pomoc týmy podpory

Poté, co jste si prohlédli kód chyby a informace o chybě, můžete kliknout na tlačítko Beru na vědomí a chci pokračovat a načíst stránku na vlastní nebezpečí. Tím se pro certifikát stránky přidá bezpečnostní výjimka.

Upozornění! Nepokračujte na danou stránku, pokud nerozumíte technickým důvodům pro toto bezpečnostní varování. Na stránkách, jejichž certifikát nelze ověřit, vám může být nabídnuta možnost přidat výjimku. Legitimní veřejné servery vás nebudou žádat o přidání bezpečnostní výjimky – neplatný certifikát může být známkou toho, že má webová stránka v úmyslu vás okrást nebo vám zcizit identitu.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED

Tato chyba značí, že certifikát stránky nevyhovuje bezpečnostním opatřením obsaženým v Certifikačním programu Mozilly. Většina prohlížečů, ne pouze Firefox, nedůvěřuje certifikátům, které vydali GeoTrust, RapidSSL, Symantec, Thawte a VeriSign, protože tyto certifikační autority v minulosti nedodržely bezpečnostní postupy.

Vlastníci serveru musí se svou certifikační autoritou zapracovat na nápravě problému s danými opatřeními. Další informace naleznete v příspěvku Distrust of Symantec TLS Certificates na blogu Mozilly.

SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE

Certifikát bude platný až od (datum) (...)

Text o chybě také obsahuje vaše aktuální systémové datum a čas. V případě, že je údaj nesprávný, nastavte si systémové hodiny na dnešní datum a čas (dvojklikněte na ikonu hodin na hlavním panelu Windows). Podrobnější informace o této chybě naleznete v článku Jak na zabezpečených stránkách vyřešit chyby souvisící s časem.

SEC_ERROR_EXPIRED_CERTIFICATE

Doba platnosti certifikátu vypršela datum (...)

Tato chyba nastane, když doba platnosti certifikace identity webového serveru vypršela.

Text o chybě také obsahuje vaše aktuální systémové datum a čas. V případě, že je údaj nesprávný, nastavte si systémové hodiny na dnešní datum a čas (dvojklikněte na ikonu hodin na hlavním panelu Windows). Podrobnější informace o této chybě naleznete v článku Jak na zabezpečených stránkách vyřešit chyby souvisící s časem.

SEC_ERROR_UNKNOWN_ISSUER

Certifikát není důvěryhodný, protože jeho vydavatel je neznámý
Server patrně neposílá patřičné certifikáty mezilehlých CA.
Může být potřeba naimportovat dodatečný kořenový certifikát.

Více se o této chybě dozvíte v článku Jak řešit některé kódy chyb na zabezpečených stránkách.

MOZILLA_PKIX_ERROR_MITM_DETECTED

Certifikát není důvěryhodný, protože jeho vydavatel je neznámý.
Server patrně neposílá patřičné certifikáty mezilehlých CA.
Může být potřeba naimportovat dodatečný kořenový certifikát.

Kód chyby MOZILLA_PKIX_ERROR_MITM_DETECTED představuje zvláštní případ kódu chyby SEC_ERROR_UNKNOWN_ISSUER, kdy je zjištěn útok Man in the middle.

Je možné, že máte ve svém bezpečnostním softwaru, jako je např. Avast, Bitdefender, ESET nebo Kaspersky, povolenu kontrolu protokolu SSL (SSL scanning). Zkuste ji zakázat. Bližší informace naleznete v článku Jak řešit některé kódy chyb na zabezpečených stránkách.

Toto chybové hlášení také můžete vidět na větších webech jako jsou Google, Facebook, YouTube aj. v uživatelských účtech chráněných filtrem Zabezpečení rodiny. Jak toto nastavení vypnout pro konkrétního uživatele se dozvíte v článku nápovědy Microsoftu Jak vypnu funkce rodiny?.

ERROR_SELF_SIGNED_CERT

Certifikát není důvěryhodný, protože je podepsán sám sebou

Certifikáty, které jsou podepsány sebou samými, zabezpečují vaše data proti odposlouchávání, avšak neříkají nic o tom, kdo je příjemcem vašich dat. Takovéto certifikáty se běžně používají v intranetových webech, které nejsou veřejně přístupné a u takovýchto serverů je možné toto varování obejít. Bližší informace naleznete v článku Jak řešit některé kódy chyb na zabezpečených stránkách.

SSL_ERROR_BAD_CERT_DOMAIN

Firefox tomuto serveru nedůvěřuje, protože používá certifikát, který není pro daný konkrétní web platný. Informace odeslané na těchto stránkách by mohly být v ohrožení, proto nejlepší, co můžete udělat, je kontaktovat vlastníka serveru, aby problém napravil.

SEC_ERROR_OCSP_INVALID_SIGNING_CERT

Server není správně nakonfigurován a selhala bezpečnostní kontrola. Pokud server navštívíte, mohli by se útočníci pokusit zcizit vaše osobní údaje jako hesla, e-mailové adresy nebo údaje o platební kartě.

Problém je na straně serveru a vy pro jeho vyřešení nemůžete udělat nic. Můžete maximálně problém oznámit správci serveru.

Poškozené úložiště certifikátů

Příčinou pro obdržení hlášení o chybě certifikátu může být také poškozený soubor cert9.db, jenž uchovává vaše certifikáty. Zkuste ho smazat, když je Firefox zavřený, aby se obnovil:

Poznámka: Tento postup byste měli provést až jako poslední možnost poté, co všechna ostatní řešení selhala.

  1. Otevřete svou složku s profilem:

    • Klikněte na tlačítko nabídky Fx89menuButton, zvolte Nápověda a poté Další technické informace.V nabídce Nápověda klikněte na položku Další technické informace. Otevře se panel Technické informace.
    • V sekci Stručně o aplikaci klikněte na řádku Složka s profilem na tlačítko OtevřítZobrazit ve FinderuOtevřít. Otevře se okno se složkou vašeho profilu.Otevře se složka vašeho profilu.
    Poznámka: Pokud nemůžete spustit či použít Firefox, postupujte dle instrukcí v článku Nalezní profilu bez otevření Firefoxu.

  2. Klikněte na tlačítko nabídky Fx89menuButton a zvolte Ukončit.Klikněte na nabídku Firefoxu v horní části obrazovky a zvolte Ukončit Firefox.Klikněte na tlačítko nabídky Fx89menuButton a zvolte Ukončit.
  3. Klikněte na soubor s názvem cert9.db.
  4. Stiskněte klávesu command+Delete.
  5. Spusťte opět Firefox.
Poznámka: Při spuštění Firefoxu bude soubor cert9.db opět vytvořen. Toto je normální chování.

Jak toto varování obejít

Poznámka: Některá varování nelze obejít.

Toto varování byste měli obejít, jen když jste si jisti jak identitou serveru, tak integritou vašeho spojení – i když serveru důvěřujete, někdo by se mohl do vašeho spojení vměšovat. Data, která zadáte na stránce a odešlete přes slabě zašifrované spojení, mohou být rovněž zranitelná vůči odposlouchávání.

Chcete-li obejít toto varování, klikněte na Pokročilé:

  • Na stránkách se slabým šifrováním se vám zobrazí možnost načíst stránku se zastaralým zabezpečením.
  • Na stránkách, kde certifikát nelze ověřit, vám může být nabídnuta možnost přidat výjimku.
Legitimní veřejné servery vás nebudou žádat o přidání bezpečnostní výjimky – neplatný certifikát může být v takovém případě známkou toho, že jde o webovou stránku, která má v úmyslu vás okrást nebo vám zcizit identitu.

Byl tento článek srozumitelný?

Počkejte prosím...

S napsáním tohoto článku pomohli tihle úžasní lidé:

soucet, Michal Stanke, Miroslav Šedý, Jiris, Honza, Nerohorse
Illustration of hands

Zapojte se

Rozvíjejte a sdílejte své znalosti s ostatními. Odpovídejte na dotazy a vylepšujte naše články nápovědy.

Zjistit více