Jak řešit některé kódy chyb na zabezpečených stránkách

Informace o revizi
  • Id revize: 164781
  • Vytvořeno:
  • Vytvořil(a): soucet
  • Komentář: aktualizace
  • Zkontrolováno: Ano
  • Zkontrolováno:
  • Zkontroloval(a): soucet
  • Je schválen? Ano
  • Jedná se o aktuální revizi? Ne
  • Připraveno na lokalizaci: Ne
Zdroj revize
Obsah revize

Na zabezpečených webech (tzn. URL začíná na "https://") musí Firefox ověřit, že certifikát, který stránka posílá, je pravý. Pokud nemůže být ověřena jeho pravost, Firefox stránku nezobrazí a místo ní oznámí chybu "Vaše připojení není zabezpečené".

Tento článek vysvětluje, proč v chybovém hlášení vidíte kód chyby "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" nebo "ERROR_SELF_SIGNED_CERT" a jak ho můžete řešit.

Co tento kód chyby znamená?

Během zabezpečeného připojení musí Firefox ověřit, zda certifikát, který stránka posílá, je pravý, tzn. zda je vydán důvěryhodnou certifikační autoritou, aby bylo zajištěno, že se uživatel opravdu připojuje k zamýšlenému serveru. Pokud se vám zobrazí chybové hlášení "Vaše připojení není zabezpečené" a po klepnutí na Rozšířené bude uveden kód chyby "SEC_ERROR_UNKNOWN_ISSUER" nebo "MOZILLA_PKIX_ERROR_MITM_DETECTED", znamená to, že certifikát byl podepsán nedůvěryhodnou certifikační autoritou, kterou Firefox nezná a ve výchozím nastavení ji tudíž nemůže důvěřovat.

pripojeni-neni-zabezpecene2

Tato chyba se objevuje na více zabezpečených webech

Pokud se tento problém vyskytuje na více nesouvisejících zabezpečených webech, znamená to, že něco ve vašem počítači nebo síti zachytává vaše spojení a vkládá do stránek certifikáty způsobem, kterému Firefox nedůvěřuje. Jestliže je Firefox schopen zjistit, že je spojení zachytáváno proxy serverem, uvede kód chyby "MOZILLA_PKIX_ERROR_MITM_DETECTED". Nejčastěji to bývá způsobeno bezpečnostním softwarem kontrolujícím zabezpečená spojení nebo malwarem nahrazujícím legitimní certifikáty jeho vlastními.

Antivirové programy

Pokud má váš antivirus funkci kontrolující šifrovaná/zabezpečená spojení, můžete ho zkusit přeinstalovat, což může způsobit opětné přidání jeho certifikátů do úložiště certifikátů Firefoxu. Zkuste následující řešení pro konkrétní bezpečnostní programy:

Avast

V produktech Avast můžete zakázat zachytávání zabezpečených spojení takto:

  1. Zobrazte ovládací panel aplikace Avast.
  2. Přejděte do Menu > Nastavení > Komponenty a klepněte na Přizpůsobit vedle položky Webový štít.
  3. Zrušte zaškrtnutí volby Povolit testování HTTPS a potvrďte klepnutím na tlačítko OK.

Další informace naleznete v článku Správa testování HTTPS ve Webovém štítu programu Avast Antivirus na webu podpory firmy Avast.

Bitdefender

V produktech Bitdefender můžete zakázat zachytávání zabezpečených spojení takto:

  1. Zobrazte ovládací panel Bitdefenderu.
  2. V případě Bitdefenderu verze 2016 klepněte na Modules.
    V případě Bitdefenderu verze 2015 klepněte na Protection.
  3. Klepněte na Web Protection.
  4. Nastavte Scan SSL na zakázáno.

Pro podnikové verze produktů Bitdefender konzultujte podporu Bitdefenderu.

Bullguard

V produktech Bullguard můžete zakázat zachytávání zabezpečených spojení na velkých webech jako jsou Google, Yahoo a Facebook takto:

  1. Zobrazte ovládací panel aplikace Bullguard.
  2. Klepněte na Antivirus settings > Browsing.
  3. Zrušte zaškrtnutí volby Show safe results pro ty servery, které zobrazují toto chybové hlášení.

ESET

V produktech ESET můžete zkusit vypnout a opět zapnout kontrolu protokolu SSL/TLS, nebo můžete zkusit vypnout zachytávání zabezpečených spojení podle článku podpory ESETu.

Kaspersky

V produktech Kaspersky můžete zakázat zachytávání zabezpečených spojení takto:

  1. Zobrazte ovládací panel aplikace Kaspersky.
  2. Klepněte na Nastavení vlevo dole.
  3. Klepněte na Rozšířené nastavení a poté na Síť.
  4. V případě Kaspersky verze 2016: v sekci Kontrola šifrovaných spojení zaškrtněte volbu Nekontrolovat šifrovaná spojení a tuto změnu potvrďte.
    Eventuálně můžete klepnout na Rozšířená nastavení, abyste zkusili spustit přeinstalaci certifikátu aplikace Kaspersky. V dialogovém okně, které se otevře, klepněte na Instalovat certifikát… a postupujte podle instrukcí na obrazovce.
    V případě Kaspersky verze 2015 zrušte zaškrtnutí volby Kontrolovat šifrovaná spojení.
  5. Následně restartujte počítač, aby se provedené změny projevily.

    Uživatelé předchozí verze produktu Kaspersky s aktuálně platným předplatným mají nárok na aktualizaci na nejnovější verzi, která je k dispozici na stránkách Kaspersky. Ihned po stažení a instalaci nové verze proveďte výše uvedený postup.

Zabezpečení rodiny v systému Windows

V účtech Windows, ve kterých je aktivováno Zabezpečení rodiny, můžou být spojení s populárními weby jako Google, Facebook nebo Youtube zachytávány a jejich certifikáty nahrazeny certifikátem vydaným Microsoftem, aby mohla být aktivita pod těmito účty kontrolována.

Zde se dočtete, jak tyto funkce rodiny vypnout. Pokud chcete ručně nainstalovat chybějící certifikáty, přečtěte si tento článek podpory Microsoftu.

Monitorování/filtrování v podnikových sítích

Některý software pro monitorování/filtrování internetového provozu používaný ve firmách může zachytávat šifrovaná spojení záměnou původního certifikátu za vlastní, čímž může způsobit chyby na zabezpečených webech.

Pokud se domníváte, že toto se děje, požádejte vaše IT oddělení o správné nakonfigurování Firefoxu, aby náležitě fungoval v takovém prostředí, jelikož nejprve asi bude potřeba přidat patřičný certifikát do úložiště certifikátů Firefoxu. Další informace pro IT oddělení o tom, jak postupovat, lze nalézt na stránce Mozilla Wiki CA:AddRootToFirefox.


Škodlivý software

Tuto chybu můžou způsobit některé formy malwaru zachytávající šifrovanou webovou komunikaci. Jak se vypořádat s problémy způsobených malwarem se dozvíte v článku Řešení problémů s Firefoxem způsobených malwarem.

Tato chyba se objevuje pouze na jednom webu

Pokud se tento problém vyskytuje pouze na jednom webu, obvykle tento druh chyby znamená, že webový server není správně nakonfigurován. Pokud se však tato chyba objevuje na legitimních velkých webech jako jsou Google či Facebook nebo na webech, kde probíhají finanční transakce, měli byste pokračovat kapitolou Tato chyba se objevuje na více zabezpečených webech.

Certifikát vydaný autoritou, která patří společnosti Symantec

Poté, co vyšla najevo řada nesrovnalostí s certifikáty vydanými kořenovými autoritami společnosti Symantec, začali dodavatelé prohlížečů včetně společnosti Mozilla ve svých produktech těmto certifikátům postupně odebírat důvěru. V prvním kroku již nebude Firefox 60 důvěřovat certifikátům, které se pojí s kořenovými autoritami společnosti Symantec (včetně všech značek společnosti Symantec GeoTrust, RapidSSL, Thawte a VeriSign) a byly vydány před 1. červnem 2016. Ve Firefoxu 63 pak bude toto odebrání důvěry rozšířeno na všechny certifikáty společnosti Symantec bez ohledu na datum vydání.

Primárně bude kód chyby MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, ale u některých serverů se může zobrazit kód chyby SEC_ERROR_UNKNOWN_ISSUER. V každém případě pokud na takový server narazíte, měli byste kontaktovat jeho majitele (či majitele webové stránky) a informovat ho o problému. Důrazně doporučujeme provozovatelům postižených serverů, aby okamžitě přijali opatření k nahrazení těchto certifikátů.

Další informace o tomto problému najdete v článku Distrust of Symantec TLS Certificates na blogu Mozilly.

Chybějící certifikát mezilehlé CA

Na webech s chybějícím certifikátem mezilehlé certifikační autority uvidíte po klepnutí v chybovém hlášení "Vaše připojení není zabezpečené" na tlačítko Rozšířené tento popis chyby:

Certifikát není důvěryhodný, protože jeho vydavatel je neznámý.
Server patrně neposílá patřičné certifikáty mezilehlých CA.
Může být potřeba naimportovat dodatečný kořenový certifikát.

Certifikát webu pravděpodobně nebyl vydán důvěryhodnou certifikační autoritou a ani nebyl poskytnut kompletní řetěz certifikátů až k důvěryhodné autoritě (chybí tzv. "certifikát mezilehlých certifikačních autorit").
Můžete otestovat, jestli je web správně nakonfigurován zadáním jeho adresy do nějakého nástroje třetí strany jako je např. testovací stránka SSL Labs. Pokud bude výsledkem testu hlášení "Chain issues: Incomplete", chybí patřičný certifikát mezilehlé certifikační autority. Měli byste kontaktovat správce takového webu a informovat ho o této chybě.

Certifikát podepsán sám sebou

Na webech s certifikátem podepsaným sebou samým uvidíte po klepnutí v chybovém hlášení "Vaše připojení není zabezpečené" na tlačítko Rozšířené k=od chyby ERROR_SELF_SIGNED_CERT a tento popis chyby:

Certifikát není důvěryhodný, protože je podepsán sám sebou.

Certifikát, který je podepsán sám sebou a který nebyl vydán uznávanou certifikační autoritou, je ve výchozím nastavení nedůvěryhodný. Certifikáty, které jsou podepsány sebou samými, zabezpečují vaše data proti odposlouchávání, avšak neříkají nic o tom, kdo je příjemcem vašich dat. Takovéto certifikáty se běžně používají v intranetových webech, které nejsou veřejně přístupné a u takovýchto serverů můžete toto varování obejít.

Obejití chybového hlášení

Upozornění: Pro legitimní velké weby ani pro weby, kde probíhají finanční transakce, byste nikdy výjimku přidávat neměli – v tomto případě může neplatný certifikát znamenat, že je spojení mezi vámi a webem kompromitováno třetí stranou.

Pokud to daný server povoluje, můžete přidat výjimku, abyste mohli stránku navštívit i přesto, že Firefox jejímu certifikátu ve výchozím nastavení nedůvěřuje.

  1. Klepněte na Pokročilé.
  2. Klepněte na Přidat výjimku.... Objeví se dialogové okno Přidání bezepčnostní výjimky.
  3. Přečtěte si text popisující problémy se stránkou. Můžete klepnout na Zobrazit..., abyste zjistili více o předkládaném certifikátu.
  4. Pokud jste si jisti, že chcete stránce důvěřovat, klepněte na Schválit bezpečnostní výjimku.