Compare Revisions

Zjistěte více o chybových kódech SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED a ERROR_SELF_SIGNED_CERT na zabezpečených stránkách a jak je řešit.

Pro [[How do I tell if my connection to a website is secure?|webové stránky, které je jsou zabezpečeny]], musí Firefox ověřit, že certifikát, který stránka posílá, je pravý. Pokud nemůže být ověřena jeho pravost, Firefox stránku nezobrazí a místo ní oznámí chybu "Varování: možné bezpečnostní riziko". Klepnutím na tlačítko {button Rozšířené} si zobrazíte podrobnosti o dané chybě. Tento článek vysvětluje, proč v chybovém hlášení vidíte kód chyby SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED nebo ERROR_SELF_SIGNED_CERT a jak ho můžete řešit. {note}V případě jiných kódů chyb v hlášení "Varování: možné bezpečnostní riziko" si přečtěte článek [[What do the security warning codes mean?]] V případě chybových hlášení ''Chyba zabezpečeného spojení'' nebo ''Nepřipojeno: Možný bezpečnostní problém'' si přečtěte článek [[Secure connection failed and Firefox did not connect]].{/note} __TOC__ = Co tento kód chyby znamená? = Během zabezpečeného připojení musí Firefox ověřit, zda certifikát, který stránka posílá, je pravý, tzn. zda je vydán důvěryhodnou [https://cs.wikipedia.org/wiki/Certifika%C4%8Dn%C3%AD_autorita certifikační autoritou], aby bylo zajištěno, že se uživatel opravdu připojuje k zamýšlenému serveru. Pokud v chybovém hlášení "Varování: možné bezpečnostní riziko" klepnete na {button Rozšířené} a bude uveden kód chyby "SEC_ERROR_UNKNOWN_ISSUER" nebo "MOZILLA_PKIX_ERROR_MITM_DETECTED", znamená to, že certifikát byl podepsán nedůvěryhodnou certifikační autoritou, kterou Firefox nezná a ve výchozím nastavení ji tudíž nemůže důvěřovat. [[Image:Fx128WarningSEC_ERROR_UNKNOWN_ISSUER]] = Tato chyba se objevuje na více zabezpečených webech = Pokud se tento problém vyskytuje na více nesouvisejících zabezpečených webech, znamená to, že něco ve vašem počítači nebo síti zachytává vaše spojení a vkládá do stránek certifikáty způsobem, kterému Firefox nedůvěřuje. Nejčastěji to bývá způsobeno bezpečnostním softwarem kontrolujícím zabezpečená spojení nebo [https://cs.wikipedia.org/wiki/Malware malwarem] nahrazujícím legitimní certifikáty jeho vlastními. Zvláště kód chyby MOZILLA_PKIX_ERROR_MITM_DETECTED značí, že Firefox zjistil, že je spojení zachytáváno. == Antivirové programy == Antivirový software třetích stran může narušovat zabezpečená spojení Firefoxu. {for winxp,win7,mac,linux}Můžete ho zkusit přeinstalovat, což ho může způsobit opětné přidání jeho certifikátů do úložiště důvěryhodnosti Firefoxu.{/for} {for win8, win10} Doporučujeme v takovém případě software třetích stran odinstalovat a používat bezpečnostní software, který pro systém Windows nabízí Mizrosoft: * Windows 8 and Windows 10 – Windows Defender ([https://www.microsoft.com/cs-cz/windows/comprehensive-security součástí systému]) Pokud svůj software třetích stran nechcete odinstalovávat, můžete ho zkusit přeinstalovat, což může způsobit opětné přidání jeho certifikátů do úložiště důvěryhodnosti Firefoxu. {/for} Zde je pár alternativních řešení, která můžete vyzkoušet: === Avast/AVG === V produktech Avast či AVG můžete zakázat zachytávání zabezpečených spojení takto: # Zobrazte ovládací panel aplikace Avast či AVG. # Přejděte do {menu Menu} a klikněte na {menu Nastavení} > {menu Ochrana} > {menu Štíty jádra}. # Najděte sekci nastavení štítů a klikněte na {menu Webový štít}. # Zrušte zaškrtnutí volby {pref Povolit testování HTTPS} a potvrďte kliknutím na tlačítko {button OK}. #;{note} Ve starších verzích produktu naleznete odpovídající nastavení, když přejdete do {menu Menu} > {menu Nastavení} > {menu Komponenty} a kliknete na {button Přizpůsobit} vedle položky {menu Webový štít}{/note} Další informace naleznete v článku [https://support.avast.com/cs-cz/article/189/ Správa testování HTTPS ve Webovém štítu programu Avast Antivirus] na webu podpory firmy Avast. === Bitdefender === V produktech Bitdefender můžete zakázat zachytávání zabezpečených spojení takto: # Zobrazte ovládací panel Bitdefenderu. # Přejděte do {menu Protection} a v sekci {menu Online Threat Prevention} klikněte na {menu Settings}. # Přepněte přepínač u volby {pref Encrypted Web Scan} do polohy VYPNUTO. #;{note} Ve starších verzích produktu naleznete odpovídající volbu pod názvem {pref Scan SSL}, když přejdete do {menu Modules} > {menu Web Protection}{/note} V produktu Bitdefender Antivirus Free není možné toto nastavení měnit. Pokud máte potíže s přístupem na zabezpečené stránky, můžete namísto toho zkusit [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html program opravit nebo odstranit]. Pro podnikové verze produktů Bitdefender konzultujte [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html podporu Bitdefenderu]. === Bullguard === V produktech Bullguard můžete zakázat zachytávání zabezpečených spojení na velkých webech jako jsou Google, Yahoo a Facebook takto: # Zobrazte ovládací panel aplikace Bullguard. # Klikněte na {menu Settings} a v pravé horní části panelu zvolte {pref Advanced}. # Přejděte do {menu Antivirus} > {menu Safe browsing}. # Zrušte zaškrtnutí volby {menu Show safe results} pro ty servery, které zobrazují toto chybové hlášení. === ESET === V produktech ESET můžete zkusit vypnout a opět zapnout {pref kontrolu protokolu SSL/TLS}, nebo můžete zkusit vypnout zachytávání zabezpečených spojení podle [http://support.eset.com/kb3126/ článku podpory ESETu]. === Kaspersky === Uživatelé produktů Kaspersky postižení tímto problémem by měli svůj bezpečnostní produkt aktualizovat na nejnovější verzi, protože verze Kaspersky 2019 a vyšší obsahují opravu tohoto problému. [https://www.kaspersky.com/downloads Stránka pro stažení produktů Kaspersky] obsahuje odkaz "Aktualizace", který nainstaluje nejnovější verzi zdarma pro uživatele s platnou licencí. V opačném případě můžete v produktech Kaspersky zakázat zachytávání zabezpečených spojení takto: # Zobrazte ovládací panel aplikace Kaspersky. # Klikněte na {menu Nastavení} vlevo dole. # Klikněte na {menu Rozšířené nastavení} a poté na {menu Síť}. # V sekci {menu Kontrola šifrovaných spojení} zaškrtněte volbu {pref Nekontrolovat šifrovaná spojení} a tuto změnu potvrďte. # Následně restartujte počítač, aby se provedené změny projevily. {for win8} == Zabezpečení rodiny v systému Windows == V účtech Windows, ve kterých je aktivováno Zabezpečení rodiny, můžou být spojení s populárními weby jako Google, Facebook nebo Youtube zachytávány a jejich certifikáty nahrazeny certifikátem vydaným Microsoftem, aby mohla být aktivita pod těmito účty kontrolována. [http://windows.microsoft.com/cs-cz/windows/family-features-remove-uninstall-faq Zde] se dočtete, jak tyto funkce rodiny vypnout. Pokud chcete ručně nainstalovat chybějící certifikáty, přečtěte si [https://support.microsoft.com/en-us/kb/2965142#bookmark-2 tento článek podpory Microsoftu]. {/for} == Monitorování/filtrování v podnikových sítích == Některý software pro monitorování/filtrování internetového provozu používaný ve firmách může zachytávat šifrovaná spojení záměnou původního certifikátu za vlastní, čímž může způsobit chyby na zabezpečených webech. Pokud se domníváte, že toto se děje, požádejte vaše IT oddělení o správné nakonfigurování Firefoxu, aby náležitě fungoval v takovém prostředí, jelikož nejprve asi bude potřeba přidat patřičný certifikát do úložiště certifikátů Firefoxu. Další informace pro IT oddělení o tom, jak postupovat, lze nalézt na stránce Mozilla Wiki [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox]. == Škodlivý software == Tuto chybu můžou způsobit některé formy malwaru zachytávající šifrovanou webovou komunikaci. Jak se vypořádat s problémy způsobených malwarem se dozvíte v článku [[Troubleshoot Firefox issues caused by malware]]. = Tato chyba se objevuje pouze na jednom webu = Pokud se tento problém vyskytuje pouze na jednom webu, obvykle tento druh chyby znamená, že webový server není správně nakonfigurován. Pokud se však tato chyba objevuje na legitimních velkých webech jako jsou Google či Facebook nebo na webech, kde probíhají finanční transakce, měli byste pokračovat kapitolou ''[[#w_tato-chyba-se-objevuje-na-vagce-zabezpeluenalch-webech|Tato chyba se objevuje na více zabezpečených webech]]''. == Certifikát vydaný autoritou, která patří společnosti Symantec == <!--Delayed? Discontinued? see discussion https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Poté, co vyšla najevo řada nesrovnalostí s certifikáty vydanými kořenovými autoritami společnosti Symantec, začali dodavatelé prohlížečů včetně společnosti Mozilla ve svých produktech těmto certifikátům postupně odebírat důvěru. Firefox již nebude důvěřovat certifikátům vydaným společností Symantec včetně těch, vydaných pod značkami GeoTrust, RapidSSL, Thawte a Verisign.<!-- V prvním kroku již nebude Firefox 60 důvěřovat certifikátům, které se pojí s kořenovými autoritami společnosti Symantec (včetně všech značek společnosti Symantec GeoTrust, RapidSSL, Thawte a VeriSign) a byly vydány před 1. červnem 2016. Ve Firefoxu 63 pak bude toto odebrání důvěry rozšířeno na všechny certifikáty společnosti Symantec bez ohledu na datum vydání.--> Další informace najdete v [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ tomto příspěvku na blogu Mozilly]. Primárně bude zobrazen kód chyby MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, ale u některých serverů se může zobrazit kód chyby SEC_ERROR_UNKNOWN_ISSUER.<!--https: //bugzilla.mozilla.org/show_bug.cgi? id = 1444427 # c1 --> Pokud na takový server narazíte, měli byste kontaktovat jeho majitele (či majitele webové stránky) a informovat ho o problému. Mozilla důrazně doporučuje provozovatelům postižených serverů, aby okamžitě přijali opatření k nahrazení těchto certifikátů. Další pomoc naleznete v [https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates tomto příspěvku blogu společnosti DigiCert] a na stránce [https://www.digicert.com/tools DigiCert Tools]. == Chybějící certifikát mezilehlé CA == Na webech s chybějícím certifikátem mezilehlé certifikační autority uvidíte po kliknutí na tlačítko {button Rozšířené} v chybovém hlášení tento popis chyby: {note}Certifikát není důvěryhodný, protože jeho vydavatel je neznámý.<br>Server patrně neposílá patřičné certifikáty mezilehlých CA.<br>Může být potřeba naimportovat dodatečný kořenový certifikát.{/note} Certifikát webu pravděpodobně nebyl vydán důvěryhodnou certifikační autoritou a ani nebyl poskytnut kompletní řetěz certifikátů až k důvěryhodné autoritě (chybí tzv. "certifikát mezilehlých certifikačních autorit"). <br>Můžete otestovat, jestli je web správně nakonfigurován zadáním jeho adresy do nějakého nástroje třetí strany jako je např. [https://www.ssllabs.com/ssltest testovací stránka SSL Labs]. Pokud bude výsledkem testu hlášení "Chain issues: Incomplete", chybí patřičný certifikát mezilehlé certifikační autority. Měli byste kontaktovat správce takového webu a informovat ho o této chybě. == Certifikát podepsán sám sebou == Na webech s certifikátem podepsaným sebou samým uvidíte po kliknutí na tlačítko {button Rozšířené} v chybovém hlášení kód chyby ERROR_SELF_SIGNED_CERT a tento popis chyby: {note}Certifikát není důvěryhodný, protože je podepsán sám sebou.{/note} Certifikát, který je podepsán sám sebou a který nebyl vydán uznávanou certifikační autoritou, je ve výchozím nastavení nedůvěryhodný. Certifikáty, které jsou podepsány sebou samými, zabezpečují vaše data proti odposlouchávání, avšak neříkají nic o tom, kdo je příjemcem vašich dat. Takovéto certifikáty se běžně používají v intranetových webech, které nejsou veřejně přístupné a u takovýchto serverů můžete toto varování obejít. == Obejití chybového hlášení == {warning}'''Upozornění:''' Pro legitimní velké weby ani pro weby, kde probíhají finanční transakce, byste nikdy výjimku přidávat neměli – v tomto případě může neplatný certifikát znamenat, že je spojení mezi vámi a webem kompromitováno třetí stranou.{/warning} Pokud to daný server povoluje, můžete varování obejít, abyste mohli stránku navštívit i přesto, že Firefox jejímu certifikátu ve výchozím nastavení nedůvěřuje. # Klepněte na {button Pokročilé}. # Klepněte na {button Beru na vědomí a chci pokračovat}.