Como resolver os problemas dos códigos de erro de segurança nos Sites da Web seguros

Para os sites da Web que são encriptados em segurança (o "URL" começa com "https://"), o Firefox deve verificar se o certificado apresentado pelo site da Web é válido. Se o certificado não pode ser validado, o Firefox irá parar a ligação para o site da Web, e em vez disso mostra uma mensagem de erro "Aviso: Potencial risco de segurança à frente". Se clicar no botão Avançado, pode ver o erro específico que o Firefox encontrou.

Este artigo explica porque poderá ver os códigos de erro "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" ou "ERROR_SELF_SIGNED_CERT" ou "ERROR_SELF_SIGNED_CERT" na página de erro e como os resolver.

Para outros códigos de erro na página de erro "Aviso: Potencial risco de segurança à frente", consulte o artigo O que significam os códigos de aviso de segurança?. Para as páginas de erro "Falha na ligação segura" ou "Não se ligou: possível problema de segurança", consulte o artigo A ligação segura falhou e o Firefox não ligou.

O que é que este código de erro significa?

Durante uma ligação segura, um site da Web deverá fornecer um certificado emitido por uma autoridade de certificação de confiança, de modo a assegurar que o utilizador está ligado ao destino pretendido e a ligação está encriptada. Se clicar no botão Avançado numa página de erro "Aviso: Potencial risco de segurança à frente" e vê o código de erro "SEC_ERROR_UNKNOWN_ISSUER" ou "MOZILLA_PKIX_ERROR_MITM_DETECTED", isto significa que o certificado fornecido foi emitido por uma autoridade de certificação desconhecida do Firefox, e por isso, não pode ser confiado por predefinição.

Fx66WarningSEC_ERROR_UNKNOWN_ISSUER

O erro ocorre em vários sites seguros

No caso de ter este problema em vários sites HTTPS não relacionados, isto indica que algo no seu sistema ou rede está a intercetar a sua ligação e a injetar certificados de um modo que não são de confiança pelo Firefox. As causas mais comuns são software de segurança que analisam as ligações encriptadas ou malware, substituindo os certificados legítimos do site com os seus próprios certificados. Em particular, o código de erro "MOZILLA_PKIX_ERROR_MITM_DETECTED" indica que o Firefox consegue detetar que a ligação é intercetada.

Produtos de antivírus

O programa de antivírus de terceiros pode interferir com as ligações seguras do Firefox. Pode tentar reinstalá-lo, o que pode levar o programa a colocar novamente os seus certificados no armazenamento confiável do Firefox.

Nós recomendamos a desinstalação desse software de terceiros e a utilização do programa de segurança oferecido para o Windows pela Microsoft:

  • Windows 8 e Windows 10 - Windows Defender (integrado)

Se não quiser desinstalar o seu programa de terceiros, tente reinstalá-lo, o que pode fazer com que o programa coloque novamente os seus certificados no armazenamento confiável do Firefox.

Aqui estão algumas soluções alternativas que pode experimentar:

Avast/AVG

Nos produtos de segurança Avast pode desativar a interceção das ligações seguras:

  1. Abra o painel da sua aplicação Avast ou AVG.
  2. Vá para Menu e clique em Definições > Proteção > Escudos Principais.
  3. Deslize para baixo para configurar a secção das definições do escudo e clique em Escudo Web.
  4. Desmarque a opção junto a Permitir pesquisa de HTTPS e confirme clicando em OK.
    Nas versões antigas do produto irá encontrar a opção correspondente quando for para Menu > Definições > Componentes e clicar em Personalizar junto a Escudo Web

Consulte o artigo de apoio do Avast Gerir a pesquisa de HTTPS no Escudo da Web no Avast Antivirus (em inglês) para detalhes. Mais informação sobre esta funcionalidade está disponível neste Blogue do Avast (em inglês).

Bitdefender

Nos produtos de segurança do Bitdefender pode desativar a interceção das ligações seguras:

  1. Abra o painel da sua aplicação Bitdefender.
  2. Vá para Proteção e na secção Prevenções de Ameaças Online clique em Definições.
  3. Desligue a definição Encrypted Web Scan.
    Nas versões antigas do produto pode encontrar a opção correspondente etiquetada Scan SSL quando for para Módulos > Proteção Web

No Bitdefender Antivirus Free não é possível controlar esta definição. Pode tentar reparar ou remover o programa (em inglês) quando estiver a ter problemas ao aceder a websites seguros.

Para produtos empresariais do Bitdefender, por favor, consulte esta página do centro de apoio do Bitdefender.

Bullguard

Nos produtos de segurança da Bullguard, pode desativar a interceção de ligações seguras em grandes sites em particular, tais como Google, Yahoo e Facebook:

  1. Abra o painel de instrumentos da sua aplicação Bullguard.
  2. Clique em Definições e ative a visualização Avançada no topo à direita do painel.
  3. Desmarque a opção Mostrar resultados seguros para esses websites que estão a mostrar uma mensagem de erro.

ESET

Nos produtos de segurança do ESET pode tentar desativar e reativar Filtrar o protocolo SSL/TLS ou geralmente desativar a interceção de ligações seguras, como descrito neste artigo de apoio do ESET.

Kaspersky

Os utilizadores afetados do Kaspersky deverão atualizar para a versão mais recente do seu produto de segurança, porque o Kaspersky 2019 e superior contêm mitigações para este problema. A página de transferências do Kaspersky inclui as ligações de "atualização" que irão instalar a versão mais recente (gratuitamente) para os utilizadores com uma subscrição atualizada.

Se não, também pode desativar a interceção das ligações seguras:

  1. Abra o painel da sua aplicação Kaspersky.
  2. Clique em Definições no fundo à esquerda.
  3. Clique em Adicionais e depois em Rede.
  4. Na secção Verificação de ligações encriptadas, marque a opção Não verificar ligações encriptadas e confirme esta alteração.
  5. Finalmente, reinicie o seu sistema para que as alterações tenham efeito.

Definições de Segurança Familiar nas contas do Windows

Nas contas Microsoft Windows protegidas por definições de 'Segurança Familiar', as ligações seguras nos sites da Web populares, tais como Google, Facebook e YouTube podem ser intercetadas e os respetivos certificados substituídos por um certificado emitido pela Microsoft, para filtrar e registar a atividade de pesquisa.

Consulte esta página de perguntas e respostas da Microsoft sobre como desligar as funcionalidades de família para contas. No caso de querer instalar manualmente os certificados em falta para contas afetadas, consulte este artigo de apoio da Microsoft.

Monitorização/Filtragem nas redes empresariais

Alguns produtos de monitorização/filtragem utilizados nos ambientes empresariais podem intercetar ligações encriptadas, substituindo o certificado de um site da Web com o certificado das empresas, e ao mesmo tempo, talvez, causando erros nos sites HTTPS seguros.

Se suspeita que este possa ser o caso, por favor, contacte o seu departamento informático para garantir a configuração correta do Firefox para que a mesma funcione devidamente em tal ambiente, pois o certificado necessário pode ter de ser instalado no armazenamento de confiança do Firefox. Pode ser encontrada mais informação para os departamentos de TI sobre como fazer isto na página Wiki da Mozilla CA:AddRootToFirefox.

Programas maliciosos (malware)

Algumas formas de programas maliciosos a intercetar o tráfego da Web encriptado pode causar esta mensagem de erro - consulte o artigo Resolver problemas no Firefox causados por programas maliciosos (Malware) sobre como lidar com os problemas dos programas maliciosos.

O erro ocorre num único site em particular

No caso de observar este problema num único site em particular, este tipo de erro geralmente indica que o servidor da Web não está configurado corretamente. No entanto, se vê este erro num site da Web legítimo importante, tais como Google ou Facebook ou em sites onde ocorrem transações comerciais, deveria continuar com os procedimentos descritos em cima.

Certificado emitido por uma autoridade pertencente à Symantec

Depois de várias irregularidades com os certificados emitidos pelas autoridades raiz da Symantec vieram à luz do dia, os fornecedores de navegadores, incluindo a Mozilla, estão a remover gradualmente a confiança destes certificados nos seus produtos. O Firefox não irá confiar mais nos certificados de servidor emitidos pela Symantec, incluindo os emitidos pelas marcas GeoTrust, RapidSSL, Thawte e Verisign. Para mais informação, consulte este artigo de blogue da Mozilla.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED será o erro primário, mas com alguns servidores, poderá ver o código de erro SEC_ERROR_UNKNOWN_ISSUER. Se se deparar com tal site, deverá contactar o proprietário do site da Web para o informar desse problema.

A Mozilla incentiva fortemente os operadores dos sites afetados a tomarem medidas imediatas para substituir estes certificados. para mais ajuda, consulte este artigo de blogue da DigiCert e Ferramentas DigiCert.

Certificado intermediário em falta

Num site com um certificado intermediário em falta, irá ver a seguinte descrição de erro depois de clicar em Avançadas na página de erro "A sua ligação não é segura":

O certificado não é de confiança porque o emissor é desconhecido.
O servidor pode não estar a enviar o certificado intermédio apropriado.
Pode ser necessário importar um certificado de raiz adicional.

O certificado do site da Web pode não ter sido emitido por uma autoridade de certificação confiável e também não foi fornecida uma cadeia de confiança completa para uma autoridade de confiança (um denominado "certificado intermédio" está em falta).
Pode testar se um site está configurado corretamente, inserindo o endereço do site da Web numa ferramenta de terceiros, tal como a página de testes do SSL Labs. Se esta estiver a devolver o resultado "Chain issues: Incomplete", está em falta um certificado intermédio adequado. Deve contactar o proprietário do site da Web no qual está a ter problemas a aceder para o informar desse problema.

Certificado assinado automaticamente

Num site com um certificado assinado automaticamente, irá ver o código de erro ERROR_SELF_SIGNED_CERT e a seguinte descrição do erro, depois de clicar em Avançadas na página de erro "A sua ligação não é segura":

O certificado não é de confiança porque é assinado automaticamente.

Um certificado assinado automaticamente que não é emitido por uma autoridade de certificação reconhecida, não é confiável por predefinição. Os certificados assinados automaticamente podem tornar a sua informação segura contra intrusos, mas não dizem nada sobre os recipientes dos dados. É comum para os sites da Web da intranet que não estão disponíveis publicamente e poderá contornar o aviso para este tipo de sites

Contornar o aviso

Aviso: nunca deve adicionar uma exceção de certificado para um site da Web legítimo importante ou em sites onde são efetuadas transações financeiras – neste caso, um certificado inválido pode ser uma indicação de que a sua ligação está comprometida por terceiros.

Se o site da Web o permitir, pode adicionar uma exceção para poder visitar o site, apesar do respetivo certificado não ser de confiança por predefinição:

  1. Na página de aviso, clique em Avançadas.
  2. Clique em Aceitar o risco e continuar

Este artigo foi útil?

Por favor, aguarde...

Estas pessoas fantásticas ajudaram a escrever este artigo:

Cláudio Esperança, Carlos Silva, user1282172, Manuela Silva
Illustration of hands

Participar

Cresça e partilhe a sua experiência com outras pessoas. Responda a perguntas e melhore a nossa base de conhecimentos.

Saber mais