Come interpretare i codici di errore e risolvere i problemi di sicurezza per i siti web sicuri
Informazioni sulla versione
- ID versione: 163089
- Data di creazione:
- Autore: Michele Rodaro
- Commento: Le notifiche non arrivano... Aggiornata procedura Avast + piccole aggiunte
- Revisionata: Sì
- Revisionata:
- Revisionata da: michro
- Approvata? Sì
- Versione corrente? No
- Pronta per la localizzazione: No
Sorgente della versione
Contenuto della versione
Quando con Firefox ci si collega a un sito web che dovrebbe essere sicuro (cioè il cui URL inizia con "https://"), il browser deve verificare che il certificato presentato dal sito sia valido. Se il certificato non può essere convalidato, la connessione al sito viene interrotta e viene invece mostrato il messaggio di errore "Questa connessione non è affidabile". Questo articolo spiega perché si potrebbe visualizzare il codice di errore "SEC_ERROR_UNKNOWN_ISSUER" quando si visita un sito web e come risolverlo.
Indice dei contenuti
Che cosa significa questo codice di errore
Durante una connessione sicura, un sito web deve fornire un certificato rilasciato da un'autorità di certificazione attendibile per garantire che l'utente sia collegato al sito designato e che la connessione sia crittografata. Se si ottiene una pagina di errore "Questa connessione non è sicura" e si visualizza il codice di errore "SEC_ERROR_UNKNOWN_ISSUER" dopo aver fatto clic su , ciò significa che il certificato fornito è stato rilasciato da un'autorità di certificazione non riconosciuta da Firefox e che pertanto non può essere considerata attendibile per impostazione predefinita.
L'errore si verifica su più siti sicuri
Qualora si riscontri questo problema su più siti HTTPS non correlati tra di loro, significa che qualcosa nel sistema in uso o sulla rete sta intercettando la connessione e "iniettando" certificati in modo tale che non risultino attendibili per Firefox. Le cause più comuni sono legate ai programmi per la sicurezza che scansionano le connessioni crittografate o a malware (programmi malevoli) "in ascolto" che stanno sostituendo i certificati legittimi del sito web con i propri certificati.
Prodotti antivirus
In generale, se il prodotto per la sicurezza utilizzato contiene una funzione per eseguire la scansione delle connessioni crittografate, si consiglia di provare a reinstallare il programma di sicurezza utilizzato. Con questa operazione si dovrebbe riuscire a installare nuovamente il certificato associato al programma nell'archivio certificati di Firefox. Provare le seguenti soluzioni per gli specifici prodotti per la sicurezza:
Avast
Nei prodotti per la sicurezza Avast, è possibile disattivare la scansione delle connessioni sicure:
- Aprire il pannello di controllo dell'applicazione Avast.
- Selezionare > > e fare clic su accanto a .
- Deselezionare la casella accanto a e confermare facendo clic su .
Per ulteriori informazioni, leggere questa pagina sul sito di supporto Avast. Maggiori informazioni su questa funzione sono disponibili (in inglese) su blog di Avast.
Bitdefender
Nei prodotti per la sicurezza Bitdefender, è possibile disattivare la scansione delle connessioni sicure:
- Aprire il pannello di controllo dell'applicazione Bitdefender.
- Se si utilizza la versione 2016 dei prodotti di sicurezza Bitdefender, fare clic su
Se si utilizza la versione 2015 di Bitdefender, fare clic su . . - Fare clic su .
- Disattivare l'impostazione Scansione SSL.
Per i prodotti aziendali Bitdefender, fare riferimento a questa pagina del Centro di supporto Bitdefender (in inglese).
BullGuard
Nei prodotti per la sicurezza BullGuard, è possibile disattivare la scansione delle connessioni sicure sui siti web molto noti come Google, Yahoo e Facebook:
- Aprire il pannello di controllo dell'applicazione BullGuard.
- Fare clic su , quindi sulla scheda in alto a destra.
- Fare clic su e successivamente su .
- Sotto la voce , deselezionare le caselle relative a quei siti che stanno mostrando un messaggio di errore.
ESET
Nei prodotti per la sicurezza ESET, è possibile provare a disattivare e riattivare Attiva filtraggio protocollo SSL/TLS o in generale a disattivare la scansione delle connessioni sicure come descritto nell'articolo del supporto di ESET (in inglese).
Kaspersky
Nei prodotti per la sicurezza Kaspersky, è possibile disattivare la scansione delle connessioni sicure:
- Aprire il pannello di controllo dell'applicazione Kaspersky.
- Fare clic su in basso a sinistra.
- Fare clic su e quindi su .
- Se si utilizza una versione 2016 di Kaspersky: nella sezione Non esaminare le connessioni crittografate e confermare la modifica.
In alternativa, è possibile fare clic su per cercare di innescare una reinstallazione del certificato di Kaspersky. Nella finestra di dialogo che si apre, fare clic su e seguire le istruzioni a video.
Se si utilizza una versione 2015 di Kaspersky: deselezionare l'opzione Scansione delle connessioni crittografate. contrassegnare l'opzione - Infine, riavviare il sistema affinché le modifiche abbiano effetto.
Gli utenti di una versione precedente di Kaspersky con un abbonamento valido, hanno diritto a un aggiornamento alla versione più recente del prodotto, che è disponibile per il download e l'installazione nella pagina degli aggiornamenti dei prodotti Kaspersky. Seguire quindi le istruzioni riportate precedentemente.
Filtro Family Safety negli account utente Windows
Negli account utente Microsoft Windows protetti dal filtro Family Safety, le connessioni sicure a siti molto noti come Google, Facebook e YouTube potrebbero essere intercettate e i certificati di quei siti potrebbero venire sostituiti da un certificato rilasciato da Microsoft per filtrare e registrare l'attività di ricerca dell'utente.
Leggere questa pagina del supporto Microsoft per istruzioni su come disattivare le funzionalità per la famiglia. Se si desidera installare manualmente il certificato mancante per gli account su cui si riscontra il problema, è possibile fare riferimento a questo articolo del supporto Microsoft.
Monitoraggio/filtraggio nelle reti aziendali
Alcuni prodotti di monitoraggio/filtraggio del traffico utilizzati in ambienti aziendali potrebbero intercettare le connessioni cifrate sostituendo il certificato di un sito web con il proprio e, contemporaneamente, generare forse errori sui siti HTTPS sicuri.
Se si ritiene che la causa possa essere questa, contattare il proprio dipartimento di IT per verificare quale debba essere la configurazione con cui far funzionare correttamente Firefox nell'ambiente in questione, in quanto è possibile che tale certificato debba prima essere installato nell'archivio certificati di Firefox. Ulteriori informazioni per i dipartimenti IT su come procedere, sono disponibili (in inglese) nella pagina Wiki di Mozilla CA:AddRootToFirefox.
Malware
Alcune forme di malware, intercettando il traffico web criptato, possono causare questo messaggio di errore. Consultare l'articolo Come capire se un malware impedisce il corretto funzionamento di Firefox per informazioni su come affrontare i problemi causati da questi programmi malevoli.
L'errore si verifica solo su un particolare sito.
Se questo problema si verifica solamente su un particolare sito, questo tipo di errore indica generalmente che il server web non è configurato correttamente. Tuttavia, se si visualizza questo errore su un sito web legittimo e importante come Google o Facebook o su siti dove avvengono transazioni finanziarie, si dovrebbe continuare con la procedura descritta in precedenza.
Certificato emesso da un'autorità facente capo a Symantec
Dopo aver sperimentato una serie di problemi a causa delle irregolarità dei certificati emessi da Symantec, Mozilla e gli altri produttori di browser stanno progressivamente rimuovendo il supporto a questi certificati dai loro programmi. Come prima soluzione, dalla versione 60 di Firefox non viene rinnovata la fiducia a certificati che fanno capo a Symantec (compresi tutti i marchi Symantec come GeoTrust, RapidSSL, Thawte, and VeriSign) che sono stati emessi prima del 06/01/2016. Successivamente, nella versione 63, questo mancato rinnovo viene esteso a tutti i certificati Symantec indipendentemenmte dalla loro data di emissione.
L'errore restituito sarà del tipo MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, anche se su alcuni server potrà comparire l'errore SEC_ERROR_UNKNOWN_ISSUER. In ogni caso, in presenza di questo errore occorrerà contattare il gestore del sito web per informarli del problema. Mozilla incoraggia fortemente gli operatori di questi siti web a prendere immediate misure per sostituire questi certificati.
Per ulteriori informazioni su questo problema, leggere questo articolo (in inglese) sul blog di Mozilla Distrust of Symantec TLS Certificates.
Certificato intermedio mancante
Su un sito con un certificato intermedio mancante, dopo aver fatto clic su
sulla pagina di errore "Questa connessione non è sicura", verrà visualizzata la seguente descrizione di errore:Il server potrebbe non aver inviato i certificati intermedi richiesti.
Potrebbe essere necessario importare un certificato radice aggiuntivo.
Il certificato del sito web potrebbe non essere stato rilasciato da un'autorità di certificazione attendibile oppure potrebbe non essere completa la catena di certificati verso un'autorità di certificazione attendibile (risulta cioè mancante un cosiddetto "certificato intermedio").
È possibile eseguire un test per verificare se un sito è correttamente configurato inserendo l'indirizzo del sito web in uno strumento di terze parti come, ad esempio, la pagina per i test di SSL Labs. Se viene restituito il risultato "Chain issues: Incomplete", significa che manca un certificato intermedio corretto.
Si dovrebbe contattare il gestore del sito web su cui si stanno riscontrando problemi di accesso per informarlo di questo problema.
Certificati auto-firmati
Su un sito che presenta un certificato auto-firmato, dopo aver fatto clic su
sulla pagina di errore "Questa connessione non è sicura", verrà visualizzata la seguente descrizione di errore :Un certificato auto-firmato che non è stato emesso da un'autorità di certificazione riconosciuta non è attendibile per impostazione predefinita. I certificati autofirmati impediscono sicuramente l'intercettazione dei dati trasmessi, ma non forniscono alcuna informazione circa il destinatario. Questa situazione è molto comune nelle intranet i cui siti web non sono pubblici e accessibili da Internet e si può ignorare l'avviso per tali siti.
Ignorare il messaggio di avvertimento
Se consentito dal sito web, è possibile aggiungere un'eccezione per poter visitare il sito, nonostante il suo certificato non venga riconosciuto come attendibile per impostazione predefinita:
- Nella pagina di avviso, fare clic su .
- Fare clic su : si aprirà la finestra di dialogo Aggiungi eccezione di sicurezza.
- Leggere il testo che descrive i problemi riscontrati per il sito che si sta visitando. È possibile fare clic su per poter esaminare più dettagliatamente il certificato non attendibile.
- Fare clic su se si è sicuri di voler considerare attendibile il sito.