Hampitsaha Fanitsiana

carregar, ligar, banido, bloqueado

Saiba sobre os códigos de erro SEC_ERROR_UNKNOWN_ISSUER MOZILLA_PKIX_ERROR_MITM_DETECTED e ERROR_SELF_SIGNED_CERT nos <i>sites</i> da Web HTTPS e como os resolver.

Nos <i>sites</i> da Web que são supostos serem seguros (o "URL" começa com "http'''s'''://"), o Firefox deve verificar se o certificado apresentado pelo <i>site</i> da Web é válido. Se o certificado não pode ser validado, o Firefox irá parar a ligação para o <i>site</i> da Web, e em vez disso mostra uma mensagem de erro "Aviso: Potencial risco de segurança à frente". Se clicar no botão {button Avançado}, pode ver o erro específico que o Firefox encontrou. Este artigo explica porque poderá ver os códigos de erro "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" ou "ERROR_SELF_SIGNED_CERT" ou "ERROR_SELF_SIGNED_CERT" na página de erro e como os resolver. {note} Para outros códigos de erro na página de erro "Aviso: Potencial risco de segurança à frente", consulte o artigo [[What do the security warning codes mean?]]. Para as páginas de erro "Falha na ligação segura" ou "Não se ligou: possível problema de segurança", consulte o artigo [[Secure connection failed and Firefox did not connect]].{/note} __TOC__ = O que é que este código de erro significa? = Durante uma ligação segura, um <i>site</i> da Web deverá fornecer um certificado emitido por uma [https://pt.wikipedia.org/wiki/Autoridade_de_Certificação autoridade de certificação] de confiança, de modo a assegurar que o utilizador está ligado ao destino pretendido e a ligação está encriptada. Se clicar no botão {button Avançado} numa página de erro "Aviso: Potencial risco de segurança à frente" e vê o código de erro "SEC_ERROR_UNKNOWN_ISSUER" ou "MOZILLA_PKIX_ERROR_MITM_DETECTED", isto significa que o certificado fornecido foi emitido por uma autoridade de certificação desconhecida do Firefox, e por isso, não pode ser confiado por predefinição. [[Image:Fx66WarningSEC_ERROR_UNKNOWN_ISSUER]] = O erro ocorre em vários <i>sites</i> seguros = No caso de ter este problema em vários ''sites'' HTTPS não relacionados, isto indica que algo no seu sistema ou rede está a intercetar a sua ligação e a injetar certificados de um modo que não são de confiança pelo Firefox. As causas mais comuns são ''software'' de segurança que analisam as ligações encriptadas ou <i>malware</i>, substituindo os certificados legítimos do <i>site</i> com os seus próprios certificados. Em particular, o código de erro "MOZILLA_PKIX_ERROR_MITM_DETECTED" indica que o Firefox consegue detetar que a ligação é intercetada. == Produtos de antivírus == O programa de antivírus de terceiros pode interferir com as ligações seguras do Firefox.{for winxp,win7,mac,linux} Pode tentar reinstalá-lo, o que pode levar o programa a colocar novamente os seus certificados no armazenamento confiável do Firefox.{/for} {for win8, win10} Nós recomendamos a desinstalação desse ''software'' de terceiros e a utilização do programa de segurança oferecido para o Windows pela Microsoft: * Windows 8 e Windows 10 - Windows Defender ([https://www.microsoft.com/pt-pt/windows/ integrado]) Se não quiser desinstalar o seu programa de terceiros, tente reinstalá-lo, o que pode fazer com que o programa coloque novamente os seus certificados no armazenamento confiável do Firefox. {/for} Aqui estão algumas soluções alternativas que pode experimentar: === Avast/AVG === Nos produtos de segurança Avast pode desativar a interceção das ligações seguras: # Abra o painel da sua aplicação Avast ou AVG. # Vá para {menu Menu} e clique em {menu Definições} > {menu Proteção} > {button Escudos Principais}. # Deslize para baixo para configurar a secção das definições do escudo e clique em {menu Escudo Web}. # Desmarque a opção junto a {pref Permitir pesquisa de HTTPS} e confirme clicando em {button OK}. #;{note} Nas versões antigas do produto irá encontrar a opção correspondente quando for para {menu Menu} > {menu Definições} > {menu Componentes} e clicar em {button Personalizar} junto a {menu Escudo Web}{/note} Consulte o artigo de apoio do Avast [https://support.avast.com/en-us/article/189/ Gerir a pesquisa de HTTPS no Escudo da Web no Avast Antivirus] (em inglês) para detalhes. Mais informação sobre esta funcionalidade está disponível neste [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Blogue do Avast] (em inglês). === Bitdefender === Nos produtos de segurança do Bitdefender pode desativar a interceção das ligações seguras: # Abra o painel da sua aplicação Bitdefender. # Vá para {menu Proteção} e na secção {menu Prevenções de Ameaças Online} clique em {menu Definições}. # Desligue a definição {pref Encrypted Web Scan}. #;{note} Nas versões antigas do produto pode encontrar a opção correspondente etiquetada {pref Scan SSL} quando for para {menu Módulos} > {menu Proteção Web}{/note} No Bitdefender Antivirus Free não é possível controlar esta definição. Pode tentar [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html reparar ou remover o programa] (em inglês) quando estiver a ter problemas ao aceder a websites seguros. Para produtos empresariais do Bitdefender, por favor, consulte esta [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html página do centro de apoio do Bitdefender]. === Bullguard === Nos produtos de segurança da Bullguard, pode desativar a interceção de ligações seguras em grandes sites em particular, tais como Google, Yahoo e Facebook: # Abra o painel de instrumentos da sua aplicação Bullguard. # Clique em {menu Definições} e ative a visualização {menu Avançada} no topo à direita do painel. # Desmarque a opção {menu Mostrar resultados seguros} para esses websites que estão a mostrar uma mensagem de erro. === ESET === Nos produtos de segurança do ESET pode tentar desativar e reativar {pref Filtrar o protocolo SSL/TLS} ou geralmente desativar a interceção de ligações seguras, como descrito neste [https://support.eset.com/kb3126/ artigo de apoio do ESET]. === Kaspersky === Os utilizadores afetados do Kaspersky deverão atualizar para a versão mais recente do seu produto de segurança, porque o Kaspersky 2019 e superior contêm mitigações para este problema. A [https://www.kaspersky.pt/free-trials/ página de transferências do Kaspersky] inclui as ligações de "atualização" que irão instalar a versão mais recente (gratuitamente) para os utilizadores com uma subscrição atualizada. Se não, também pode desativar a interceção das ligações seguras: # Abra o painel da sua aplicação Kaspersky. # Clique em {menu Definições} no fundo à esquerda. # Clique em {menu Adicionais} e depois em {menu Rede}. # Na secção {menu Verificação de ligações encriptadas}, marque a opção {pref Não verificar ligações encriptadas} e confirme esta alteração. #Finalmente, reinicie o seu sistema para que as alterações tenham efeito. {for win8} == Definições de Segurança Familiar nas contas do Windows == Nas contas Microsoft Windows protegidas por definições de 'Segurança Familiar', as ligações seguras nos <i>sites</i> da Web populares, tais como Google, Facebook e YouTube podem ser intercetadas e os respetivos certificados substituídos por um certificado emitido pela Microsoft, para filtrar e registar a atividade de pesquisa. Consulte esta [http://windows.microsoft.com/pt-pt/windows/family-features-remove-uninstall-faq página de perguntas e respostas da Microsoft] sobre como desligar as funcionalidades de família para contas. No caso de querer instalar manualmente os certificados em falta para contas afetadas, consulte este [https://support.microsoft.com/pt-pt/kb/2965142#bookmark-2 artigo de apoio da Microsoft]. {/for} == Monitorização/Filtragem nas redes empresariais == Alguns produtos de monitorização/filtragem utilizados nos ambientes empresariais podem intercetar ligações encriptadas, substituindo o certificado de um <i>site</i> da Web com o certificado das empresas, e ao mesmo tempo, talvez, causando erros nos <i>sites</i> HTTPS seguros. Se suspeita que este possa ser o caso, por favor, contacte o seu departamento informático para garantir a correta configuração do Firefox para que o mesmo funcione neste ambiente, pois o certificado necessário pode ter de ser instalado no armazenamento de confiança do Firefox. Pode ser encontrada mais informação para os departamentos de TI sobre como fazer isto na página Wiki da Mozilla [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox]. == Programas maliciosos (<i>malware</i>) == Algumas formas de programas maliciosos a intercetar o tráfego da Web encriptado pode causar esta mensagem de erro - consulte o artigo [[Troubleshoot Firefox issues caused by malware]] sobre como lidar com os problemas dos programas maliciosos. = O erro ocorre num único <i>site</i> em particular = No caso de observar este problema num único <i>site</i> em particular, este tipo de erro geralmente indica que o servidor da Web não está configurado corretamente. No entanto, se vê este erro num <i>site</i> da Web legítimo importante, tais como Google ou Facebook ou em <i>sites</i> onde ocorrem transações comerciais, deveria continuar com os <!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_o-erro-ocorre-em-vários-sites-seguros|procedimentos descritos em cima]]. == Certificado emitido por uma autoridade pertencente à Symantec == <!--Atrasado? Descontinuado? consulte a discussão https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Depois de várias irregularidades com certificados emitidos pelas autoridades raiz da Symantec vieram à luz do dia, os fornecedores de navegadores, incluindo a Mozilla, estão a remover gradualmente a confiança destes certificados nos seus produtos. O Firefox não irá confiar mais nos certificados de servidor emitidos pela Symantec, incluindo os emitidos pelas marcas GeoTrust, RapidSSL, Thawte e Verisign.<!--Numa primeira etapa, o Firefox 60 não irá confiar mais nos certificados associados com as autoridades raiz da Symantec (incluindo todas as marcas da Symantec GeoTrust, RapidSSL, Thawte e VeriSign) que foram emitidos antes de 01-06-2016. No Firefox 63, esta remoção de confiança será estendida a todos os certificados da Symantec, independentemente da sua data de emissão.--> Para obter mais informação, consulte [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ este artigo de blogue da Mozilla] e [[https://www.fxsitecompat.dev/en-CA/docs/2018/symantec-geotrust-rapidssl-thawte-verisign-certificates-will-all-be-distrusted-in-october-2018/ este documento de compatibilidade]. MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED irá ser um erro primário mas com alguns servidores, mas em vez deste, poderá ver o código de erro SEC_ERROR_UNKNOWN_ISSUER. <!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 --> Em qualquer caso, se se deparar com tal <i>site</i>, deverá contactar o proprietário do <i>site</i> da Web para o informar desse problemas. Nós veementemente encorajamos os operadores dos ''sites'' afetados a tomar medidas imediatas para substituir estes certificados. A Mozilla incentiva fortemente os operadores dos ''sites'' afetados a tomarem medidas imediatas para substituir estes certificados. A DigiCert está a fornecer [https://www.digicert.com/replace-your-symantec-ssl-tls-certificates/ gratuitamente substituições de certificados]. == Certificado intermediário em falta == Num ''site'' com um certificado intermediário em falta, irá ver a seguinte descrição de erro depois de clicar em {button Avançadas} na página de erro "A sua ligação não é segura": {note}O certificado não é de confiança porque o emissor é desconhecido.<br>O servidor pode não estar a enviar o certificado intermédio apropriado.<br>Pode ser necessário importar um certificado de raiz adicional.{/note} O certificado do <i>site</i> da Web pode não ter sido emitido por uma autoridade de certificação confiável e também não foi fornecida uma cadeia de confiança completa para uma autoridade de confiança (um denominado "certificado intermédio" está em falta). <br>Pode testar se um site está configurado corretamente, inserindo o endereço do <i>site</i> da Web numa ferramenta de terceiros, tal como a [https://www.ssllabs.com/ssltest página de testes do SSL Labs]. Se esta estiver a devolver o resultado "Chain issues: Incomplete", está em falta um certificado intermédio adequado. Deve contactar o proprietário do <i>site</i> da Web no qual está a ter problemas a aceder para o informar desse problema. == Certificado assinado automaticamente == Num <i>site</i> com um certificado assinado automaticamente, irá ver o código de erro ERROR_SELF_SIGNED_CERT e a seguinte descrição do erro, depois de clicar em {button Avançadas} na página de erro "A sua ligação não é segura": {note}O certificado não é de confiança porque é assinado automaticamente.{/note} Um certificado assinado automaticamente que não é emitido por uma autoridade de certificação reconhecida, não é confiável por predefinição. Os certificados assinados automaticamente podem tornar a sua informação segura contra intrusos, mas não dizem nada sobre os recipientes dos dados. É comum para os <i>sites</i> da Web da <i>intranet</i> que não estão disponíveis publicamente e poderá contornar o aviso para este tipo de <i>sites</i> == Contornar o aviso == {warning}'''Aviso:''' nunca deve adicionar uma exceção de certificado para um <i>site</i> da Web legítimo importante ou em sites onde são efetuadas transações financeiras – neste caso, um certificado inválido pode ser uma indicação de que a sua ligação está comprometida por terceiros.{/warning} Se o <i>site</i> da Web o permitir, pode adicionar uma exceção para poder visitar o <i>site</i>, apesar do respetivo certificado não ser de confiança por predefinição: # Na página de aviso, clique em {button Avançadas}. # Clique em {button Aceitar o risco e continuar}