Het probleen met foutcodes bij ‘Uw verbinding is niet beveiligd’ op beveiligde websites oplossen

Op websites die beveiligd zouden moeten zijn (de URL begint met ‘https://’), moet Firefox verifiëren dat het door de website aangeboden certificaat geldig is. Als het certificaat niet kan worden gevalideerd, zal Firefox geen verbinding met de website maken en in plaats daarvan een foutpagina Waarschuwing: mogelijk beveiligingsrisico tonen.

Dit artikel legt uit waarom u de foutcode SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED of ERROR_SELF_SIGNED_CERT op de foutpagina kunt zien, en hoe u dit probleem kunt analyseren en verhelpen.

Wat betekent deze foutcode?

Tijdens een beveiligde verbinding moet een beveiligde website een certificaat aanbieden dat door een vertrouwde certificaatautoriteit is uitgegeven om te verzekeren dat de gebruiker verbinding heeft met de bedoelde bestemming, en dat de verbinding is versleuteld. Als u op de foutpagina Waarschuwing: mogelijk beveiligingsrisico op de knop Geavanceerd klikt en u ziet de foutcode SEC_ERROR_UNKNOWN_ISSUER of MOZILLA_PKIX_ERROR_MITM_DETECTED, betekent dit dat het aangeboden certificaat door een certificaatautoriteit is uitgegeven die niet bij Firefox bekend is, en daardoor niet standaard kan worden vertrouwd.

Fx66WarningSEC_ERROR_UNKNOWN_ISSUER

De fout treedt op meerdere beveiligde websites op

Als u dit probleem op meerdere niet-gerelateerde HTTPS-websites tegenkomt, geeft dit aan dat iets op uw systeem of netwerk uw internetverbinding onderschept en certificaten injecteert op een manier die niet door Firefox wordt vertrouwd. De meest voorkomende oorzaken hiervan zijn beveiligingssoftware die versleutelde verbindingen scant of malware die meeluistert, waarbij legitieme website-certificaten worden vervangen door die van deze software. Met name geeft de foutcode MOZILLA_PKIX_ERROR_MITM_DETECTED aan dat Firefox detecteert dat de verbinding door een proxy wordt onderschept.

Antivirusproducten

Antivirussoftware van derden kan problemen geven voor de beveiligde verbindingen van Firefox. U kunt proberen het beveiligingsproduct opnieuw te installeren, waardoor de software de certificaten hiervan mogelijk weer in het vertrouwensarchief van Firefox kan plaatsen.

Wij adviseren u uw software van derden te de-installeren en de beveiligingssoftware te gebruiken die Microsoft voor Windows aanbiedt:

Als u uw software van derden niet wilt de-installeren, kunt u proberen het beveiligingsproduct opnieuw te installeren, waardoor de software de certificaten hiervan mogelijk weer in het vertrouwensarchief van Firefox kan plaatsen.

Als alternatief kunt u de volgende oplossingen proberen:

Avast/AVG

In de beveiligingsproducten van Avast en AVG kunt u het onderscheppen van beveiligde verbindingen als volgt uitschakelen:

  1. Open het dashboard van uw Avast- of AVG-toepassing.
  2. Ga naar Menu en klik op Instellingen > Bescherming > Belangrijkste schilden.
  3. Scroll naar de sectie Schildinstellingen configureren en klik op Webschild.
  4. Haal het vinkje weg in het vakje naast HTTPS-scans inschakelen en bevestig dit door op OK te klikken.
    In oudere versies van de software vindt u deze optie als u naar Menu > Instellingen > Onderdelen gaat en naast Webschild op Aanpassen klikt

Zie het Avast-ondersteuningsartikel HTTPS-scans in Webschild in Avast Antivirus voor details. Meer informatie over deze functie is beschikbaar in dit Avast-blog.

Bitdefender

In Bitdefender-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen als volgt uitschakelen:

  1. Open het dashboard van uw Bitdefender-toepassing.
  2. Ga naar Beveiliging, ga naar de sectie Preventie bij online dreigingen en klik op Instellingen.
  3. Schakel de instelling voor Versleutelde webscan uit.
    In oudere versies van de software vindt u de overeenkomstige optie SSL-scanning als u naar Modules gaat en vervolgens naar Webbeveiliging

In Bitdefender Antivirus Free kan deze instelling niet worden gewijzigd. In plaats daarvan kunt u proberen het programma te repareren of verwijderen als u problemen hebt bij de toegang tot beveiligde websites.

Raadpleeg voor zakelijke Bitdefender-producten deze pagina in het Bitdefender Support Center.

Bullguard

In Bullguard-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen op bepaalde grote websites zoals Google, Yahoo en Facebook als volgt uitschakelen:

  1. Open het dashboard van uw Bullguard-toepassing.
  2. Klik op Instellingen en schakel het menu Geavanceerd in, rechtsboven op de pagina.
  3. Ga naar Antivirus > Veilig browsen.
  4. Haal het vinkje weg bij de optie Veilige resultaten op deze websites voor de websites die een foutmelding tonen.

ESET

In ESET-beveiligingsproducten kunt u proberen SSL/TLS-protocolfiltering uit en weer in te schakelen, of de onderschepping van beveiligde verbindingen algemeen uit te schakelen zoals beschreven in dit ESET-ondersteuningsartikel.

Kaspersky

De gebruikers van Kaspersky die problemen ondervinden, zouden naar de laatste versie van hun beveiligingsproduct moeten upgraden, omdat Kaspersky 2019 en nieuwer verbeteringen voor dit probleem bezitten. De downloadpagina van Kaspersky bevat koppelingen voor updates waarmee de laatste versie kan worden geinstalleerd, gratis voor gebruikers met een geldig abonnement.

Als alternatief kunt u het onderscheppen van beveiligde verbindingen als volgt uitschakelen:

  1. Open het dashboard van uw Kaspersky-toepassing.
  2. Klik links onderaan op Instellingen.
  3. Klik op Extra en daarna op Netwerk.
  4. Plaats in de sectie Versleutelde verbindingen scannen een vinkje bij de optie Versleutelde verbindingen niet scannen en bevestig deze wijziging.
  5. Herstart tot slot uw systeem om de wijzigingen van kracht te laten worden.

Family Safety-instellingen in Windows-accounts

In Microsoft Windows-accounts die door Family Safety-settings worden beschermd, zouden beveiligde verbindingen op populaire websites als Google, Facebook en YouTube kunnen worden onderschept en hun certificaten kunnen worden vervangen door een certificaat dat door Microsoft is uitgegeven, zodat zoekactiviteit kan worden gefilterd en bijgehouden.

Lees deze Microsoft FAQ-pagina over het uitschakelen van deze gezinsfuncties voor accounts. Als u de ontbrekende certificaten voor betroffen accounts handmatig wilt installeren, raadpleeg dan dit Microsoft-ondersteuningsartikel.

Monitoren/filteren in zakelijke netwerken

Sommige producten voor het monitoren/filteren van verkeer die in zakelijke omgevingen worden gebruikt, kunnen versleutelde verbindingen onderscheppen door het certificaat van een website te vervangen door dat van zichzelf, wat tegelijkertijd mogelijk fouten op beveiligde HTTPS-websites kan veroorzaken.

Als u vermoedt dat dit het geval is, neem dan contact op met uw IT-afdeling om de juiste configuratie van Firefox te bepalen die de browser in een dergelijke omgeving goed kan laten werken, omdat het benodigde certificaat mogelijk eerst in het vertrouwensarchief van Firefox moet worden geplaatst. Meer informatie voor IT-afdelingen over het uitvoeren hiervan is te vinden op de Mozilla-wikipagina CA:AddRootToFirefox.

Malware

Sommige vormen van malware die versleuteld webverkeer onderscheppen, kunnen deze foutmelding veroorzaken. Raadpleeg het artikel Problemen met Firefox die door malware worden veroorzaakt verhelpen voor het omgaan met malwareproblemen.

De fout treedt alleen op een bepaalde website op

Als u dit probleem alleen op een bepaalde website tegenkomt, geeft dit type fout doorgaans aan dat de website niet goed is geconfigureerd. Als u deze fout echter ziet op een legitieme grote website als Google of Facebook, of op websites waarop financiële transacties plaatsvinden, dient u verder te gaan met de hierboven beschreven stappen.

Certificaat uitgegeven door een autoriteit die aan Symantec toebehoort

Nadat een aantal onregelmatigheden aan het licht zijn gekomen met certificaten die door Symantec-basiscertificeringsinstanties zijn uitgegeven, gaan leveranciers van browsers geleidelijk aan het vertrouwen van deze certificaten in hun producten verwijderen. Firefox accepteert geen servercertificaten meer die zijn uitgegeven door Symantec, inclusief de certificaten die zijn uitgegeven door de Symantec-merken GeoTrust, RapidSSL, Thawte en VeriSign. Raadpleeg voor meer informatie deze Mozilla blogpost en dit compatibiliteitsdocument.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED is de primaire foutmelding, maar bij bepaalde servers kunt u in plaats daarvan de foutcode SEC_ERROR_UNKNOWN_ISSUER zien. Als u een dergelijke website tegenkomt, dient u in elk geval contact op te nemen met de eigenaar van de website om hem of haar over het probleem te informeren.

Ontbrekend tussencertificaat

Op een website met een ontbrekend tussencertificaat zult u de volgende foutbeschrijving zien nadat u op de foutpagina op Geavanceerd klikt:

Het certificaat wordt niet vertrouwd, omdat het uitgeverscertificaat onbekend is.
De server stuurt mogelijk niet de juiste tussencertificaten.
Mogelijk dient een extra basiscertificaat te worden geïmporteerd.

Mogelijk is het certificaat van de website niet door een vertrouwde certificaatautoriteit zelf uitgegeven, en is er ook geen volledige certificaatketen bij een vertrouwde autoriteit aangeleverd (een zogenaamd tussencertificaat ontbreekt).
U kunt testen of een website juist is geconfigureerd door het adres van de website in een hulpmiddel van derden in te voeren, zoals de testpagina van SSL Labs. Als hier het resultaat Chain issues: Incomplete wordt teruggegeven, ontbreekt een geschikt tussencertificaat. U dient contact op te nemen met de eigenaar van de website die u niet kunt benaderen om hem of haar over dat probleem te informeren.

Zelfondertekend certificaat

Op een website met een zelfondertekend certificaat zult u de foutcode ERROR_SELF_SIGNED_CERT en de volgende foutbeschrijving zien nadat u op de foutpagina ‘Uw verbinding is niet beveiligd’ op Geavanceerd klikt:

Het certificaat wordt niet vertrouwd, omdat het zelfondertekend is.

Standaard wordt een zelfondertekend certificaat dat niet door een erkende certificaatautoriteit is uitgegeven, niet vertrouwd. Zelfondertekende certificaten kunnen uw gegevens veilig maken voor afluisteraars, maar zeggen niets over wie de ontvanger van de gegevens is. Dit is gebruikelijk voor intranetsites die niet publiekelijk beschikbaar zijn, en voor dergelijke websites kunt u de waarschuwing omzeilen.

De waarschuwing omzeilen

Waarschuwing: voeg nooit een certificaatuitzondering toe voor een legitieme grote website of websites waarop financiële transacties plaatsvinden – in dit geval kan een ongeldig certificaat een indicatie zijn dat er door een derde partij met uw verbinding is geknoeid.

Als de website het toestaat, kunt u de waarschuwing omzeilen om de website te bezoeken, ondanks dat het certificaat ervan niet standaard wordt vertrouwd:

  1. Klik op de waarschuwingspagina op Geavanceerd.
  2. Klik op Het risico aanvaarden en doorgaan.

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info