השוואת מהדורות

Lees over de foutcode SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED en ERROR_SELF_SIGNED_CERT op beveiligde websites, en hoe u deze kunt oplossen.

Voor [[How do I tell if my connection to a website is secure?|websites die veilig zijn versleuteld]] moet Firefox verifiëren dat het door de website aangeboden certificaat geldig is. Als het certificaat niet kan worden gevalideerd, zal Firefox geen verbinding met de website maken en in plaats daarvan een foutpagina ''Waarschuwing: mogelijk beveiligingsrisico'' tonen. Door op de knop {button Geavanceerd} te klikken kunt u bekijken welke fout precies is opgetreden in Firefox. Dit artikel legt uit waarom u de foutcodes SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED of ERROR_SELF_SIGNED_CERT op een foutpagina kunt zien, en hoe u dit probleem kunt analyseren en verhelpen. {note}Bekijk voor andere foutcodes op de foutpagina ''Waarschuwing: mogelijk beveiligingsrisico'' het artikel [[What do the security warning codes mean?]]. Voor de foutpagina’s ''Beveiligde verbinding mislukt'' of ''Geen verbinding gemaakt: mogelijk beveiligingsprobleem'', zie het artikel [[Secure connection failed and Firefox did not connect]].{/note} __TOC__ = Wat betekent deze foutcode? = Tijdens een beveiligde verbinding moet een beveiligde website een certificaat aanbieden dat door een vertrouwde [https://nl.wikipedia.org/wiki/Certificaatautoriteit certificaatautoriteit] is uitgegeven om te verzekeren dat de gebruiker verbinding heeft met het beoogde doel en dat de verbinding is versleuteld. Als u op de foutpagina ''Waarschuwing: mogelijk beveiligingsrisico'' op de knop {button Geavanceerd} klikt en u ziet de foutcode SEC_ERROR_UNKNOWN_ISSUER of MOZILLA_PKIX_ERROR_MITM_DETECTED, betekent dit dat het aangeboden certificaat door een certificaatautoriteit is uitgegeven die niet bij Firefox bekend is, en daardoor niet standaard kan worden vertrouwd. [[Image:Fx128WarningSEC_ERROR_UNKNOWN_ISSUER]] = De fout treedt op meerdere beveiligde websites op = Als u dit probleem op meerdere niet-gerelateerde HTTPS-websites tegenkomt, geeft dit aan dat iets op uw systeem of netwerk uw internetverbinding onderschept en certificaten injecteert op een manier die niet door Firefox wordt vertrouwd. De meest voorkomende oorzaken hiervan zijn beveiligingssoftware die versleutelde verbindingen scant of malware die meeluistert en legitieme websitecertificaten vervangt door eigen exemplaren. Met name geeft de foutcode MOZILLA_PKIX_ERROR_MITM_DETECTED aan dat Firefox onderschepping van de verbinding heeft gedetecteerd. == Antivirusproducten == Antivirussoftware van derden kan problemen geven voor de beveiligde verbindingen van Firefox.{for winxp,win7,mac,linux} U kunt proberen het beveiligingsproduct opnieuw te installeren, waardoor de software de certificaten hiervan mogelijk weer in het vertrouwensarchief van Firefox kan plaatsen.{/for} {for win8, win10} Wij adviseren u uw software van derden te de-installeren en de beveiligingssoftware te gebruiken die Microsoft voor Windows aanbiedt: * Windows 8 and Windows 10 - [https://www.microsoft.com/windows/comprehensive-security Windows Defender] (ingebouwd) Als u uw software van derden niet wilt de-installeren, kunt u proberen het beveiligingsproduct opnieuw te installeren, waardoor de software de certificaten hiervan mogelijk weer in het vertrouwensarchief van Firefox kan plaatsen. {/for} Als alternatief kunt u de volgende oplossingen proberen: === Avast/AVG === In de beveiligingsproducten van Avast en AVG kunt u het onderscheppen van beveiligde verbindingen als volgt uitschakelen: # Open het dashboard van uw Avast- of AVG-toepassing. # Ga naar {menu Menu} en klik op {menu Instellingen} > {menu Bescherming} > {menu Belangrijkste schilden}. # Scroll naar de sectie ''Schildinstellingen configureren'' en klik op {menu Webschild}. # Haal het vinkje weg in het vakje naast {menu HTTPS-scans inschakelen} en bevestig dit door op {button OK} te klikken. #;{note} In oudere versies van de software vindt u deze optie als u naar {menu Menu} > {menu Instellingen} > {menu Onderdelen} gaat en naast {menu Webschild} op {button Aanpassen} klikt{/note} Zie het Avast-ondersteuningsartikel [https://support.avast.com/nl-nl/article/189/ HTTPS-scans in Webschild in Avast Antivirus] voor details. Meer informatie over deze functie is beschikbaar in dit [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast-blog]. === Bitdefender === In Bitdefender-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen als volgt uitschakelen: # Open het dashboard van uw Bitdefender-toepassing. # Ga naar {menu Beveiliging}, ga naar de sectie {menu Preventie bij online dreigingen} en klik op {menu Instellingen}. # Schakel de instelling voor {pref Versleutelde webscan} uit. #;{note} In oudere versies van de software vindt u de overeenkomstige optie {pref SSL-scanning} als u naar {menu Modules} gaat en vervolgens naar {menu Webbeveiliging}{/note} In Bitdefender Antivirus Free kan deze instelling niet worden gewijzigd. In plaats daarvan kunt u proberen het programma te [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html repareren of verwijderen] <!--LINK?--> als u problemen hebt bij de toegang tot beveiligde websites. Raadpleeg voor zakelijke Bitdefender-producten [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html deze pagina in het Bitdefender Support Center]. === Bullguard === In Bullguard-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen op bepaalde grote websites zoals Google, Yahoo en Facebook als volgt uitschakelen: # Open het dashboard van uw Bullguard-toepassing. # Klik op {menu Instellingen} en schakel het menu {menu Geavanceerd} in, rechtsboven op de pagina. # Ga naar {menu Antivirus} > {menu Veilig browsen}. # Haal het vinkje weg bij de optie {menu Veilige resultaten op deze websites} voor de websites die een foutmelding tonen. === ESET === In ESET-beveiligingsproducten kunt u proberen {pref SSL/TLS-protocolfiltering} uit en weer in te schakelen, of de onderschepping van beveiligde verbindingen algemeen uit te schakelen zoals beschreven in [http://support.eset.com/kb3126/ dit ESET-ondersteuningsartikel]. === Kaspersky === De gebruikers van Kaspersky die problemen ondervinden, zouden naar de laatste versie van hun beveiligingsproduct moeten upgraden, omdat Kaspersky 2019 en nieuwer verbeteringen voor dit probleem bezitten. De [https://www.kaspersky.com/downloads downloadpagina van Kaspersky] bevat koppelingen voor updates waarmee de laatste versie kan worden geinstalleerd, gratis voor gebruikers met een geldig abonnement. Als alternatief kunt u het onderscheppen van beveiligde verbindingen als volgt uitschakelen: # Open het dashboard van uw Kaspersky-toepassing. # Klik links onderaan op {menu Instellingen}. # Klik op {menu Extra} en daarna op {menu Netwerk}. # Plaats in de sectie {menu Versleutelde verbindingen scannen} een vinkje bij de optie {pref Versleutelde verbindingen niet scannen} en bevestig deze wijziging. # Herstart tot slot uw systeem om de wijzigingen van kracht te laten worden. {for win8} == Family Safety-instellingen in Windows-accounts == In Microsoft Windows-accounts die door Family Safety-settings worden beschermd, zouden beveiligde verbindingen op populaire websites als Google, Facebook en YouTube kunnen worden onderschept en hun certificaten kunnen worden vervangen door een certificaat dat door Microsoft is uitgegeven, zodat zoekactiviteit kan worden gefilterd en bijgehouden. Lees deze [http://windows.microsoft.com/nl-nl/windows/family-features-remove-uninstall-faq Microsoft FAQ-pagina] <!-- LINK? -->over het uitschakelen van deze gezinsfuncties voor accounts. Als u de ontbrekende certificaten voor betroffen accounts handmatig wilt installeren, raadpleeg dan [https://support.microsoft.com/nl-nl/kb/2965142#bookmark-2 dit Microsoft-ondersteuningsartikel]. {/for} == Monitoren/filteren in zakelijke netwerken == Sommige producten voor het monitoren/filteren van verkeer die in zakelijke omgevingen worden gebruikt, kunnen versleutelde verbindingen onderscheppen door het certificaat van een website te vervangen door dat van zichzelf, wat tegelijkertijd mogelijk fouten op beveiligde HTTPS-websites kan veroorzaken. Als u vermoedt dat dit het geval is, neem dan contact op met uw IT-afdeling om de juiste configuratie van Firefox te bepalen die de browser in een dergelijke omgeving goed kan laten werken, omdat het benodigde certificaat mogelijk eerst in het vertrouwensarchief van Firefox moet worden geplaatst. Meer informatie voor IT-afdelingen over het uitvoeren hiervan is te vinden op de Mozilla-wikipagina [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox]. == Malware == Sommige vormen van malware die versleuteld webverkeer onderscheppen, kunnen deze foutmelding veroorzaken. Raadpleeg het artikel [[Troubleshoot Firefox issues caused by malware]] voor het omgaan met malwareproblemen. = De fout treedt alleen op een bepaalde website op = Als u dit probleem alleen op een bepaalde website tegenkomt, geeft dit type fout doorgaans aan dat de website niet goed is geconfigureerd. Als u deze fout echter ziet op een legitieme grote website als Google of Facebook, of op websites waarop financiële transacties plaatsvinden, dient u verder te gaan met de <!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_de-fout-treedt-op-meerdere-beveiligde-websites-op|hierboven beschreven stappen]]. == Certificaat uitgegeven door een autoriteit die aan Symantec toebehoort == <!--Delayed? Discontinued? see discussion https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Nadat een aantal onregelmatigheden aan het licht zijn gekomen met certificaten die door Symantec-basiscertificeringsinstanties zijn uitgegeven, gaan leveranciers van browsers, waaronder Mozilla, geleidelijk aan het vertrouwen van deze certificaten in hun producten verwijderen. Firefox accepteert geen servercertificaten meer die zijn uitgegeven door Symantec, inclusief de certificaten die zijn uitgegeven door de Symantec-merken GeoTrust, RapidSSL, Thawte en VeriSign. <!--Als eerste stap zal Firefox 60 geen certificaten meer accepteren die zijn gekoppeld aan Symantec-basiscertificeringsinstanties (waaronder alle Symantec-merken GeoTrust, RapidSSL, Thawte en VeriSign) die voor 01-06-2016 zijn uitgegeven. In Firefox 63 zal deze verwijdering van vertrouwen worden uitgebreid naar alle Symantec-certificaten, ongeacht hun datum van uitgave.--> Raadpleeg voor meer informatie [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ deze Mozilla blogpost]. MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED is de primaire foutmelding, maar bij bepaalde servers kunt u in plaats daarvan de foutcode SEC_ERROR_UNKNOWN_ISSUER zien.<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 --> Als u een dergelijke website tegenkomt, dient u contact op te nemen met de eigenaar van de website om hem of haar over het probleem te informeren. Mozilla raadt beheerders van getroffen websites sterk aan om deze certificaten te vervangen. Zie voor meer hulp [https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates deze DigiCert-blogpost] en [https://www.digicert.com/tools DigiCert Tools]. == Ontbrekend tussencertificaat == Op een website met een ontbrekend tussencertificaat zult u de volgende foutbeschrijving zien nadat u op de foutpagina op {button Geavanceerd} klikt: {note}Het certificaat wordt niet vertrouwd, omdat het uitgeverscertificaat onbekend is.<br>De server stuurt mogelijk niet de juiste tussencertificaten.<br>Mogelijk dient een extra basiscertificaat te worden geïmporteerd.{/note} Mogelijk is het certificaat van de website niet door een vertrouwde certificaatautoriteit zelf uitgegeven, en is er ook geen volledige certificaatketen bij een vertrouwde autoriteit aangeleverd (een zogenaamd ''tussencertificaat'' ontbreekt). <br>U kunt testen of een website juist is geconfigureerd door het adres van de website in een hulpmiddel van derden in te voeren, zoals de [https://www.ssllabs.com/ssltest testpagina van SSL Labs]. Als hier het resultaat ''Chain issues: Incomplete'' wordt teruggegeven, ontbreekt een geschikt tussencertificaat. U dient contact op te nemen met de eigenaar van de website die u niet kunt benaderen om hem of haar over dat probleem te informeren. == Zelfondertekend certificaat == Op een website met een zelfondertekend certificaat zult u de foutcode ERROR_SELF_SIGNED_CERT en de volgende foutbeschrijving zien nadat u op de foutpagina ‘Uw verbinding is niet beveiligd’ op {button Geavanceerd} klikt: {note}Het certificaat wordt niet vertrouwd, omdat het zelfondertekend is.{/note} Standaard wordt een zelfondertekend certificaat dat niet door een erkende certificaatautoriteit is uitgegeven, niet vertrouwd. Zelfondertekende certificaten kunnen uw gegevens veilig maken voor afluisteraars, maar zeggen niets over wie de ontvanger van de gegevens is. Dit is gebruikelijk voor intranetsites die niet publiekelijk beschikbaar zijn, en voor dergelijke websites kunt u de waarschuwing omzeilen. == De waarschuwing omzeilen == {warning}'''Waarschuwing:''' voeg nooit een certificaatuitzondering toe voor een legitieme grote website of websites waarop financiële transacties plaatsvinden – in dit geval kan een ongeldig certificaat een indicatie zijn dat er door een derde partij met uw verbinding is geknoeid.{/warning} Als de website het toestaat, kunt u de waarschuwing omzeilen om de website te bezoeken, ondanks dat het certificaat ervan niet standaard wordt vertrouwd: # Klik op de waarschuwingspagina op {button Geavanceerd}. # Klik op {button Het risico aanvaarden en doorgaan}.