Het probleen met foutcodes bij ‘Uw verbinding is niet beveiligd’ op beveiligde websites oplossen

Op websites die beveiligd zouden moeten zijn (de URL begint met ‘https://’), moet Firefox verifiëren dat het door de website aangeboden certificaat geldig is. Als het certificaat niet kan worden gevalideerd, zal Firefox geen verbinding met de website maken en in plaats daarvan een foutpagina ‘Uw verbinding is niet beveiligd’ tonen.

Dit artikel legt uit waarom u de foutcode ‘SEC_ERROR_UNKNOWN_ISSUER’, ‘MOZILLA_PKIX_ERROR_MITM_DETECTED’ of ‘ERROR_SELF_SIGNED_CERT’ op de foutpagina kunt zien, en hoe u dit probleem kunt analyseren en verhelpen.

Wat betekent deze foutcode?

Tijdens een beveiligde verbinding dient een beveiligde website een certificaat aan te bieden dat door een vertrouwde certificaatautoriteit is uitgegeven om te verzekeren dat de gebruiker verbinding heeft met de bedoelde bestemming, en dat de verbinding is versleuteld. Als u een foutpagina ‘Uw verbinding is niet beveiligd’ ziet en de foutcode ‘SEC_ERROR_UNKNOWN_ISSUER’ of ‘MOZILLA_PKIX_ERROR_MITM_DETECTED’ ziet nadat u op Geavanceerd klikt, betekent dit dat het aangeboden certificaat door een certificaatautoriteit is uitgegeven die niet bij Firefox bekend is, en daardoor niet standaard kan worden vertrouwd.

Fx44 SEC_ERROR_UNKNOWN_ISSUER error

De fout treedt op meerdere beveiligde websites op

Als u dit probleem op meerdere niet-gerelateerde HTTPS-websites tegenkomt, geeft dit aan dat iets op uw systeem of netwerk uw internetverbinding onderschept en certificaten injecteert op een manier die niet door Firefox wordt vertrouwd. Dit wordt aangegeven door ‘MOZILLA_PKIX_ERROR_MITM_DETECTED’ als Firefox kan detecteren dat de verbinding wordt onderschept door een proxy. De meest voorkomende oorzaken hiervan zijn beveiligingssoftware die versleutelde verbindingen scant of malware die meeluistert, waarbij legitieme website-certificaten worden vervangen door die van deze software.

Antivirusproducten

Doorgaans kunt u, als uw beveiligingsproduct een functie voor het scannen van versleutelde verbindingen bevat, proberen het beveiligingsproduct opnieuw te installeren, waardoor de software de certificaten hiervan mogelijk weer in het vertrouwensarchief van Firefox kan plaatsen. Voor bepaalde beveiligingsproducten kunt u de volgende oplossingen proberen:

Avast

In Avast-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen uitschakelen:

  1. Open het dashboard van uw Avast-toepassing.
  2. Ga naar Menu > Instellingen > Onderdelen en klik op Aanpassen naast Webschild.
  3. Haal het vinkje weg in het vakje naast HTTPS-scans inschakelen en bevestig dit door op OK te klikken.

Zie het Avast-ondersteuningsartikel HTTPS-scans in Webschild in Avast Antivirus voor details. Meer informatie over deze functie is beschikbaar in dit Avast-blog.

Bitdefender

In Bitdefender-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen uitschakelen:

  1. Open het dashboard van uw Bitdefender-toepassing.
  2. Klik voor de 2016-versie van het Bitdefender-beveiligingsproduct op Modules.
    Klik voor de 2015-versie van BitDefender op Beveiliging.
  3. Klik op Webbeveiliging.
  4. Schakel de instelling voor SSL-scanning uit.

Raadpleeg voor zakelijke Bitdefender-producten deze pagina in het Bitdefender Support Center.

Bullguard

In Bullguard-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen op bepaalde grote websites zoals Google, Yahoo en Facebook uitschakelen:

  1. Open het dashboard van uw Bullguard-toepassing.
  2. Klik op Antivirus-instellingen > Bladeren.
  3. Haal het vinkje weg bij de optie Veilige resultaten op deze websites voor de websites die een foutmelding tonen.

ESET

In ESET-beveiligingsproducten kunt u proberen SSL/TLS-protocolfiltering uit en weer in te schakelen, of de onderschepping van beveiligde verbindingen algemeen uit te schakelen zoals beschreven in dit ESET-ondersteuningsartikel.

Kaspersky

In Kaspersky-beveiligingsproducten kunt u het onderscheppen van beveiligde verbindingen uitschakelen:

  1. Open het dashboard van uw Kaspersky-toepassing.
  2. Klik links onderaan op Instellingen.
  3. Klik op Extra en daarna op Netwerk.
  4. Als u een 2016-versie van Kaspersky gebruikt: plaats in de sectie Versleutelde verbindingen scannen een vinkje bij de optie Versleutelde verbindingen niet scannen en bevestig deze wijziging.
    Als alternatief kunt u op Geavanceerde instellingen klikken om te proberen een herinstallatie van Kaspersky’s certificaat te bewerkstelligen. Klik in het dialoogvenster dat wordt geopend op Certificaat installeren… en volg de instructies op het scherm.
    Als u een 2015-versie van Kaspersky gebruikt: haal het vinkje weg bij de optie Beveiligde verbindingen scannen.
  5. Herstart tot slot uw systeem om de wijzigingen van kracht te laten worden.

    Gebruikers van een eerdere versie van Kaspersky met een huidig abonnement hebben recht op een upgrade naar de meest recente productversie, die beschikbaar is voor downloaden en installatie op de pagina Productupdates van Kaspersky. Volg daarna de bovenstaande stappen.

Family Safety-instellingen in Windows-accounts

In Microsoft Windows-accounts die door Family Safety-settings worden beschermd, zouden beveiligde verbindingen op populaire websites als Google, Facebook en YouTube kunnen worden onderschept en hun certificaten kunnen worden vervangen door een certificaat dat door Microsoft is uitgegeven, zodat zoekactiviteit kan worden gefilterd en bijgehouden.

Lees deze Microsoft FAQ-pagina over het uitschakelen van deze gezinsfuncties voor accounts. Als u de ontbrekende certificaten voor betroffen accounts handmatig wilt installeren, raadpleeg dan dit Microsoft-ondersteuningsartikel.

Monitoren/filteren in zakelijke netwerken

Sommige producten voor het monitoren/filteren van verkeer die in zakelijke omgevingen worden gebruikt, kunnen versleutelde verbindingen onderscheppen door het certificaat van een website te vervangen door dat van zichzelf, wat tegelijkertijd mogelijke fouten op beveiligde HTTPS-websites kan veroorzaken.

Als u vermoedt dat dit het geval is, neem dan contact op met uw IT-afdeling om de juiste configuratie van Firefox te bepalen die de browser in een dergelijke omgeving goed kan laten werken, omdat het benodigde certificaat mogelijk eerst in het vertrouwensarchief van Firefox moet worden geplaatst. Meer informatie voor IT-afdelingen over het uitvoeren hiervan is te vinden op de Mozilla-wikipagina CA:AddRootToFirefox.

Malware

Sommige vormen van malware die versleuteld webverkeer onderscheppen, kunnen deze foutmelding veroorzaken. Raadpleeg het artikel Problemen met Firefox die door malware worden veroorzaakt verhelpen voor het omgaan met malwareproblemen.

De fout treedt alleen op een bepaalde website op

Als u dit probleem alleen op een bepaalde website tegenkomt, geeft dit type fout doorgaans aan dat de website niet goed is geconfigureerd. Als u deze fout echter ziet op een legitieme grote website als Google of Facebook, of op websites waarop financiële transacties plaatsvinden, dient u verder te gaan met de hierboven beschreven stappen.

Certificaat uitgegeven door een autoriteit die aan Symantec toebehoort

Nadat een aantal onregelmatigheden met certificaten die door Symantec-basiscertificeringsinstanties zijn uitgegeven aan het licht zijn gekomen, gaan leveranciers van browsers geleidelijk aan het vertrouwen van deze certificaten in hun producten verwijderen. Als eerste stap zal Firefox 60 geen certificaten meer accepteren die zijn gekoppeld aan Symantec-basiscertificeringsinstanties (waaronder alle Symantec-merken GeoTrust, RapidSSL, Thawte en VeriSign) die voor 01-06-2016 zijn uitgegeven. In Firefox 63 zal deze verwijdering van vertrouwen worden uitgebreid naar alle Symantec-certificaten, ongeacht hun datum van uitgave.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED zal de primaire foutmelding zijn, maar bij bepaalde servers kunt u in plaats daarvan de foutcode SEC_ERROR_UNKNOWN_ISSUER zien. Als u een dergelijke website tegenkomt, dient u in elk geval contact op te nemen met de eigenaar van de website om hem of haar over dat probleem te informeren. We raden beheerders van getroffen websites ten zeerste aan onmiddellijk actie te ondernemen om deze certificaten te vervangen.

Bekijk voor meer informatie over dit probleem Mozilla’s blogbericht Distrust of Symantec TLS Certificates.

Ontbrekend tussencertificaat

Op een website met een ontbrekend tussencertificaat zult u de volgende foutbeschrijving zien nadat u op de foutpagina ‘Uw verbinding is niet beveiligd’ op Geavanceerd klikt:

Het certificaat wordt niet vertrouwd, omdat het uitgeverscertificaat onbekend is.
De server stuurt mogelijk niet de juiste tussencertificaten.
Mogelijk dient een extra basiscertificaat te worden geïmporteerd.

Mogelijk is het certificaat van de website niet door een vertrouwde certificaatautoriteit zelf uitgegeven, en is er ook geen volledige certificaatketen bij een vertrouwde autoriteit aangeleverd (een zogenaamd ‘tussencertificaat’ ontbreekt).
U kunt testen of een website juist is geconfigureerd door het adres van de website in een hulpmiddel van derden in te voeren, zoals de testpagina van SSL Labs. Als hier het resultaat “Chain issues: Incomplete” wordt teruggegeven, ontbreekt een geschikt tussencertificaat. U dient contact op te nemen met de eigenaar van de website die u niet kunt benaderen om hem of haar over dat probleem te informeren.

Zelfondertekend certificaat

Op een website met een zelfondertekend certificaat zult u de foutcode ERROR_SELF_SIGNED_CERT en de volgende foutbeschrijving zien nadat u op de foutpagina ‘Uw verbinding is niet beveiligd’ op Geavanceerd klikt:

Het certificaat wordt niet vertrouwd, omdat het zelfondertekend is.

Standaard wordt een zelfondertekend certificaat dat niet door een erkende certificaatautoriteit is uitgegeven, niet vertrouwd. Zelfondertekende certificaten kunnen uw gegevens veilig maken voor afluisteraars, maar zeggen niets over die de ontvanger van de gegevens is. Dit is gebruikelijk voor intranetsites die niet publiekelijk beschikbaar zijn, en voor dergelijke websites kunt u de waarschuwing omzeilen.

De waarschuwing omzeilen

Waarschuwing: voeg nooit een certificaatuitzondering toe voor een legitieme grote website of websites waarop financiële transacties plaatsvinden – in dit geval kan een ongeldig certificaat een indicatie zijn dat er door een derde partij met uw verbinding is geknoeid.

Als de website het toestaat, kunt u een uitzondering toevoegen om de website te bezoeken, ondanks dat het certificaat ervan niet standaard wordt vertrouwd:

  1. Klik op de waarschuwingspagina op Geavanceerd.
  2. Klik op Uitzondering toevoegen…. Het dialoogvenster Beveiligingsuitzondering toevoegen verschijnt.
  3. Lees de tekst die de problemen met de website beschrijft. U kunt ook op Weergeven… klikken om het niet-vertrouwde certificaat nader te inspecteren.
  4. Klik op Beveiligingsuitzondering bevestigen als u zeker weet dat u de website wilt vertrouwen.
// Deze aardige mensen hebben dit artikel helpen schrijven:Tonnes. U kunt ook helpen - lees hier hoe.

Was dit artikel nuttig? Een moment geduld…

Word vrijwilliger bij Mozilla Support