Compare Revisions

połączenie, bezpieczne, certyfikat, zablokowane, zabezpieczenie

Dowiedz się, dlaczego na stronach HTTPS może pojawiać się błąd SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED lub ERROR_SELF_SIGNED_CERT i jak rozwiązać ten problem.

Na witrynach, które powinny być bezpieczne (ich adres URL zaczyna się od "http'''s'''://"), Firefox musi zweryfikować, czy certyfikat tej witryny jest poprawny. Jeżeli certyfikat nie może być zweryfikowany, Firefox przerwie połączenie ze stroną i wyświetli komunikat błędu {for not fx66}"Połączenie nie jest bezpieczne"{/for}{for fx66}"Ostrzeżenie: potencjalne zagrożenie bezpieczeństwa"{/for}. Na tej stronie znajdziesz wyjaśnienie przyczyn wyświetlania błędów SEC_ERROR_UNKNOWN_ISSUER{for fx61}, MOZILLA_PKIX_ERROR_MITM_DETECTED lub ERROR_SELF_SIGNED_CERT{/for} podczas prób odwiedzania stron internetowych oraz sposoby rozwiązania tego problemu. * Inne kody błędu dla komunikatu {for not fx66}"Połączenie nie jest bezpieczne"{/for}{for fx66}"Ostrzeżenie: potencjalne zagrożenie bezpieczeństwa"{/for} znajdziesz na stronie [[What do the security warning codes mean?]]. __TOC__ = Co oznacza ten błąd? = Podczas bezpiecznego połączenia strona musi dostarczyć certyfikat wydany przez zaufany [https://pl.wikipedia.org/wiki/Urz%C4%85d_certyfikacji urząd certyfikacji] w celu zapewnienia, że użytkownik jest podłączony do pożądanej strony, a połączenie jest szyfrowane. Jeżeli pojawia się strona z błędem {for not fx66}"Połączenie nie jest bezpieczne"{/for}{for fx66}"Ostrzeżenie: potencjalne zagrożenie bezpieczeństwa"{/for} i po naciśnięciu przycisku {button Zaawansowane} wyświetlony jest kod błędu SEC_ERROR_UNKNOWN_ISSUER {for fx61}lub MOZILLA_PKIX_ERROR_MITM_DETECTED{/for}, oznacza to, że dostarczony certyfikat został wydany przez urząd certyfikacji, który nie jest znany przeglądarce Firefox - a zatem nie można mu domyślnie ufać. {for not fx66}[[Image:Fx44 SEC_ERROR_UNKNOWN_ISSUER error]]{/for}{for fx66}[[Image:Fx66WarningSEC_ERROR_UNKNOWN_ISSUER]]{/for} = Błąd występuje na wielu szyfrowanych stronach = W przypadku, gdy ten problem pojawi się na wielu niepowiązanych stronach internetowych, oznacza to, że coś w systemie lub sieci przechwytuje połączenia i wstrzykuje certyfikaty w sposób, który nie jest zaufany w przeglądarce Firefox. Najczęstsze przyczyny to skanowanie szyfrowanych połączeń za pomocą oprogramowania zabezpieczającego lub podsłuchiwanie transmisji przez złośliwe oprogramowanie, zastępujące legalne certyfikaty witryn internetowych ich własnymi certyfikatami.{for fx61} W szczególności wskazuje na to kod błędu "MOZILLA_PKIX_ERROR_MITM_DETECTED", jeśli Firefox jest w stanie wykryć, że połączenie zostało przechwycone.{/for} == Programy antywirusowe == Oprogramowanie antywirusowe firm trzecich może zakłócać bezpieczne połączenia programu Firefox. Zalecamy odinstalowanie oprogramowania firm trzecich i korzystanie z oprogramowania zabezpieczającego oferowanego przez Microsoft dla systemu Windows: * Windows 7 - [https://support.microsoft.com/help/14210/security-essentials-download Microsoft Security Essentials] * Windows 8 i Windows 10 - Windows Defender ([https://www.microsoft.com/windows/comprehensive-security wbudowany]) Jeśli nie chcesz odinstalowywać oprogramowania firm trzecich, możesz spróbować przeinstalować je ponownie, co może spowodować ponowne umieszczenie właściwych certyfikatów w Firefox trust store. Oto kilka alternatywnych rozwiązań, które możesz wypróbować: === Avast/AVG === W produktach bezpieczeństwa Avast lub AVG możesz wyłączyć przechwytywanie bezpiecznych połączeń: # Otwórz panel nawigacyjny aplikacji Avast lub AVG. # Przejdź do {menu Menu} i kliknij {menu Ustawienia} > {menu Ochrona} > {menu Główne osłony} # Przewiń w dół do sekcji Dostosuj ustawienia ochrony i wybierz {menu Osłona WWW}. # Odznacz pole wyboru {menu Włącz skanowanie HTTPS} i potwierdź przez naciśnięcie przycisku {button OK}. #;{note}W starszych wersjach tego oprogramowania tę opcję zmienisz poprzez {menu Menu} > {menu Ustawienia} > {menu Komponenty} i naciśnięcie przycisku {button Dostosuj} obok menu {menu Osłona WWW}.{/note} Szczegółowe informacje na ten temat można znaleźć w artykule pomocy technicznej Avasta [https://support.avast.com/pl-pl/article/189/ Zarządzanie skanowaniem protokołu HTTPS w ramach Osłony WWW w programie Avast Antivirus]. === Bitdefender === W produktach bezpieczeństwa Bitdefender możesz wyłączyć przechwytywanie bezpiecznych połączeń: # Otwórz panel nawigacyjny aplikacji Bitdefender. # Przejdź do {menu Ochrona} i w sekcji {menu Zapobieganie zagrożeniom online} kliknij {menu Ustawienia}. # Usuń zaznaczenie z ustawienia {pref Skanowanie szyfrowanych stron internetowych}. #;{note}W starszych wersjach Bitdefendera tę opcję znajdziesz w {menu Moduły} > {menu Ochrona sieci} > {pref Skanowanie SSL}{/note} W Bitdefender Antivirus Free nie można kontrolować tego ustawienia. Zamiast tego możesz spróbować [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html naprawić lub usunąć program], gdy masz problemy z dostępem do bezpiecznych stron internetowych. Dla produktów korporacyjnych Bitdefender, przejdź na [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html oficjalną stronę pomocy Bitdefendera] (w jęz. ang.). === Bullguard === W produktach bezpieczeństwa BullGuard możesz wyłączyć przechwytywanie bezpiecznych połączeń dla konkretnych, popularnych stron internetowych takich jak Google, Yahoo i Facebook: # Otwórz panel nawigacyjny aplikacji BullGuard. # Kliknij {menu Settings} i włącz widok {pref Advanced} w prawym górnym rogu panelu. # Przejdź do {menu Antivirus} > {menu Safe browsing}. # Odznacz opcję {menu Show safe results} dla tych witryn, które wyświetlają komunikat błędu. === ESET === W produktach bezpieczeństwa ESET możesz spróbować wyłączyć i ponownie włączyć {pref filtrowanie protokołu SSL/TLS} lub ogólnie wyłączyć przechwytywanie bezpiecznych połączeń, według instrukcji zawartych na [http://support.eset.com/kb3126/ oficjalnej stronie pomocy ESET] (w jęz. ang.). === Kaspersky === Poszkodowani użytkownicy Kaspersky powinni przejść na najnowszą wersję swojego produktu bezpieczeństwa, ponieważ Kaspersky 2019 i wyżej zawierają środki zaradcze dla tego problemu. Strona [https://www.kaspersky.com/downloads pobierania Kaspersky] zawiera linki aktualizacyjne, które zainstalują najnowszą bezpłatną wersję dla użytkowników z aktualną subskrypcją. W przeciwnym razie można również wyłączyć przechwytywanie bezpiecznych połączeń: # Otwórz panel nawigacyjny programu Kaspersky. # Kliknij {menu Ustawienia} na dole po lewej. # Kliknij {menu Dodatkowe}, następnie {menu Sieć}. # W sekcji {menu Skanowanie połączeń szyfrowanych} zaznacz opcję {pref Nie skanuj połączeń szyfrowanych} i potwierdź tę zmianę. # Na zakończenie, zamknij i ponownie uruchom system operacyjny, by wprowadzone przez ciebie zmiany zostały uwzględnione w jego konfiguracji. {for win8} == Funkcje rodzinne kont Windows == Na konta chronionych przez ustawienia Bezpieczeństwo rodzinne systemu Microsoft Windows, bezpieczne połączenia na popularnych stronach internetowych, takich jak Google, Facebook i YouTube mogą zostać przechwycone i ich certyfikaty zastąpione przez certyfikaty wydane przez Microsoft w celu filtrowania i zapisu aktywności. Dowiedz się [http://windows.microsoft.com/pl-pl/windows/family-features-remove-uninstall-faq z oficjalnej stronie pomocy Microsoftu] jak wyłączyć funkcje rodzinne dla swoich kont. Jeśli chcesz własnoręcznie zainstalować brakujące certyfikaty, zapoznaj się z [https://support.microsoft.com/pl-pl/kb/2965142#bookmark-2 tym oficjalnym artykułem pomocy Microsoft]. {/for} == Monitorowanie/filtrowanie w sieciach korporacyjnych == Niektóre programy monitorujące lub filtrujące połączenia internetowe, stosowane w środowiskach korporacyjnych, mogą przechwytywać szyfrowane połączenia zastępując certyfikat witryny swoim własnym, jednocześnie powodując błędy certyfikatów bezpiecznych witryn. Jeśli podejrzewasz taką sytuację, skontaktuj się z działem informatycznym twojej firmy w celu zapewnienia poprawnej konfiguracji Firefoksa, aby umożliwić mu prawidłowe działanie w takim środowisku. Konieczne może być umieszczenie certyfikatu w magazynie zaufanych dostawców programu Firefox. Więcej informacji dla działów IT na ten temat można znaleźć na stronie Wiki Mozilli [https://wiki.mozilla.org/CA:AddRootToFirefox CA: AddRootToFirefox]. == Złośliwe oprogramowanie == Niektóre formy złośliwego oprogramowania przechwytujące zaszyfrowany ruch internetowy mogą być przyczyną tego komunikatu o błędzie - przejdź do artykułu [[Troubleshoot Firefox issues caused by malware]] by dowiedzieć się, jak radzić sobie ze złośliwym oprogramowaniem. = Błąd występuje tylko na konkretnej stronie = W przypadku gdy problem ten pojawia się problem tylko na jednej witrynie, tego typu błąd zwykle oznacza, że serwer WWW danej strony nie jest prawidłowo skonfigurowany. Jeśli ten błąd występuje na popularnej witrynie, takiej jak Google czy Facebook lub też stronach, na których odbywają się transakcje finansowe, przejdź do <!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_baaled-wystlopuje-na-wielu-szyfrowanych-stronach|punktu opisanego powyżej]]. {for fx60} == Certyfikat wydany przez organizację należącą do firmy Symantec == Po ujawnieniu nieprawidłowości w certyfikatach wydawanych przez firmę Symantec i należące do niej organizacje, twórcy przeglądarek (łącznie z Mozillą) rozpoczęli stopniowe usuwanie obsługi tych certyfikatów ze swojego oprogramowania. Począwszy od wersji 60 programu Firefox, certyfikaty wydane przez firmę Symantec i organizacje jej podległe (na przykład GeoTrust, RapidSSL, Thawte i VeriSign) przed dniem 1 czerwca 2016 roku nie będą już obsługiwane. Począwszy od wersji 63 programu Firefox, wszystkie certyfikaty tego typu, niezależnie od daty ich wydania, nie będą obsługiwane przez program Firefox. W takim wypadku, najczęściej wyświetlany będzie komunikat błędu MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, ale dla niektórych serwerów będzie to SEC_ERROR_UNKNOWN_ISSUER. <!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 --> Niezależnie od komunikatu błędu, zalecamy skontaktowanie się z właścicielami strony internetowej i poinformowanie ich o problemie z certyfikatami. Zdecydowanie zachęcamy właścicieli stron napotykających na ten problem z certyfikacją do zastąpienia ich certyfikatów. Więcej informacji o tym problemie znajdziesz na oficjalnym blogu Mozilli we wpisie [https://blog.mozilla.org/security/2018/03/12/distrust-symantec-tls-certificates/ Distrust of Symantec TLS Certificates]. {/for} == Brak certyfikatu pośredniego == Na stronie z brakującym certyfikatem pośrednim, po naciśnięciu przycisku {button Zaawansowane} na stronie z informacją o błędzie, zostanie wyświetlony poniższy opis błędu: {note}Nie można sprawdzić tego certyfikatu, ponieważ jego wystawca jest nieznany.<br>Serwer nie wysyła odpowiednich certyfikatów pośrednich.<br>Może być konieczne zaimportowanie dodatkowych certyfikatów głównych.{/note} Certyfikat strony internetowej mógł nie być wystawiony przez zaufany urząd certyfikacji, lub też nie został dostarczony kompletny łańcuch certyfikacji (brakuje tak zwanego "certyfikatu pośredniego"). <br>Możesz przetestować, czy witryna została poprawnie skonfigurowana przez wpisanie adresu tej witryny w narzędziach testujących, takich jak na przykład [https://www.ssllabs.com/ssltest strona testowa SSL Labs]. Jeśli strona testowa zwraca komunikat "problemy z łańcuchem: Niekompletny", oznacza to brak właściwego certyfikatu pośredniego. Zalecamy skontaktowanie się z właścicielami strony internetowej i poinformowanie ich o tym problemie. == Samopodpisane certyfikaty == Na stronie z samopodpisanym certyfikatem po naciśnięciu przycisku {button Zaawansowane}, na stronie z informacją o błędzie, zostanie wyświetlony komunikat z kodem ERROR_SELF_SIGNED_CERT: {note}Certyfikat nie jest zaufany, ponieważ jest on samopodpisany.{/note} Samopodpisany certyfikat, który nie został wydany przez uznany urząd certyfikacyjny, domyślnie uważany jest za niezaufany. Certyfikaty samopodpisane mogą zapewnić bezpieczeństwo przesyłanych danych, ale nie udzielają żadnych informacji na temat ich prawdziwych odbiorców. Model ten jest powszechny dla witryn intranetowych, które nie są dostępne publicznie - dla takich stron możesz pominąć to ostrzeżenie. == Pomijanie ostrzeżenia == {warning}'''Uwaga:''' Nigdy nie dodawaj wyjątku certyfikatów dla dużych witryn lub stron, w których odbywają się transakcje finansowe - w tym przypadku nieprawidłowy certyfikat może być wskazówką, że połączenie jest przechwytywane przez osobę trzecią.{/warning} Jeśli strona na to pozwala, możesz ominąć ostrzerzenie aby ją odwiedzić, pomimo tego że jej certyfikat nie jest domyślnie uważany za zaufany: {for not fx66} # Na stronie z ostrzeżeniem naciśnij przycisk {button Zaawansowane}. # Naciśnij przycisk {button Dodaj wyjątek…}. Pojawi się okno dialogowe ''Dodaj wyjątek bezpieczeństwa''. # Przeczytaj tekst opisujący problem z witryną. Możesz również kliknąć {button Pokaż certyfikat…} w celu bardziej szczegółowej inspekcji niezaufanego certyfikatu. # Naciśnij {button Potwierdź wyjątek bezpieczeństwa} jeżeli jesteś pewien, że chcesz ufać tej witrynie. {/for} {for fx66} # Na stronie z ostrzeżeniem naciśnij przycisk {button Zaawansowane}. # Kliknij {button Akceptuję ryzyko, kontynuuj}. {/for}