Hvordan feilsøke feilkoden "SEC_ERROR_UNKNOWN_ISSUER" på sikre nettsider

På nettsider som skal være sikre (nettadressen begynner med "https://") må Firefox først verifisere at sertifikatet til nettsiden er gyldig. Dersom sertifikatet ikke kan valideres vil ikke Firefox la deg koble til nettsiden og vise en "Din tilkobling er ikke sikker"-feilmelding istedet. Denne artikkelen forklarer noen grunner til hvorfor du ser feilkoden "SEC_ERROR_UNKNOWN_ISSUER" på nettsider og hvordan du kan feilsøke det.

Hva betyr denne feilkoden?

Under opprettelsen av en sikker tilkobling til en nettside må nettsiden oppgi et sertifikat som er utstedt av en sikker utsender - en såkalt sertifikat-autoritet (Certificate authority). Dette gjøres for å bekrefte at nettsiden er "ekte" og at tilkoblingen er sikker og kryptert. Hvis du får feilmeldingen "Din tilkobling er ikke sikker" og ser feilkoden "SEC_ERROR_UNKNOWN_ISSUER" når du trykker på Avansert, betyr det at sertifikatet ikke er utgit av en sertifikatautoritet som Firefox kjenner til og dermed ikke kan stoles på uten videre.

sec_unknown_issuer_error

Feilmeldingen kommer på flere sikre sider

Dersom du måttar feilmeldingen på flere uavhengige HTTPS-sider kan det tyde på at noe på maskinen eller nettverket ditt fanger opp tilkoblingen og setter inn sertifikater på en måte som ikke Firefox stoler på. Den vanligste årsaken er programvare som skanner kryptert trafikk eller skadevare som forsøker å sende deg fra legitime sider til andre falske sider med annet skadevare.

Antivirusprodukter

Generelt hvis din sikkerhetsløsning har en mulighet for å skanne krypterte tilkoblinger og trafikk kan du prøve å reinstallere sikkerhetsløsningen. Det kan føre til at programvaren plasserer sertifikatet i Firefox sin oversikt over entiteter den stoler på. Prøv disse fremgangsmåtene for de forskjellige sikkerhetsløsningene.

Avast

I Avast sine sikkerhetsprodukter kan du deaktivere avskjæring av sikre tilkoblinger på følgende måte:

  1. Åpne instrumentpanelet (dashboard) til din Avast applikasjon
  2. Gå til Instillinger > Aktiv beskyttelse og trykk på Tilpass ved siden av Web Shield.
  3. Huk av Aktiver HTTPS skanning instillingen og bekreft dette ved å trykke på OK.

Mer informasjon om denne funksjonen er tilgjengelig på Avast sin blogg.

Bitdefender

I Bitdefender sine sikkerhetsprodukter kan du deaktivere avskjæringen av sikre tilkoblinger på følgende måte:

  1. Åpne instrumentpanelet (dashboard) til din Bitdefender applikasjon
  2. For 2016 versjonen, trykk på Moduler.

For 2015 versjonen, trykk på Beskyttelse.

  1. Trykk på Web protection.
  2. Veksle av Scan SSL instillingen.

For bedriftsproduktene til Bitdefender, vennligs gå til Bitdefenders brukerstøttesider.

Bullguard

I Bullguard sine sikkerhetsprodukter kan du deaktivere avskjæringen av sikre tilkoblinger på bestemte store nettsider som Google, Yahoo og Facebook

  1. Åpne instrumentpanelet (dashboard) til din Bullguard applikasjon.
  2. Trykk på Antivirusinstillinger > Surfing.

" Huk av Vis sikre resultater alternativet for de nettsidene der du ser feilmeldingen.

ESET

I ESET sine sikkerhetsløsninger kan du prøve å deaktivere og reaktivere SSL/TLS protokollfiltrering eller mer generelt, deaktivere avskjæringen av sikre tilkoblinger som beskrevet i ESETs brukerstøtteartikkel.

Kaspersky

I Kaspersky sine sikkerhetsprodukter kan du deaktivere avskjæringen av sikre tilkoblinger på følgende måte:

  1. Åpne instrumentpanelet (dashboard) til din Kaspersky applikasjon.
  2. Trykk på Instillinger nede til vesntre.
  3. Trykk på Mer og velg Nettverk.
  4. Hvis du bruker 2016 versjonen: I Kryptert tilkoblingsskanning seksjonen, marker Ikke skan krypterte tilkoblinger alternativet og bekreft endringen.
    Alternativt kan du trykke på Avanserte instillinger for å prøve å trigge en reinstallering av Kasperskys sertifikater. I dialogen som åpnes, trykk på Installer sertifikat… og følg instruksjonene.
    Hvis du bruker 2015 versjonen, huk av Skan krypterte tilkoblinger alternativet.
  5. Til slutt, start maskinen på nytt for at endringene skal tre i kraft.

    Brukere av en tidligere versjon av kaspersky med et gyldig abonnement har rett til å oppdatere til siste versjon, som er tilgjengelig for nedlasting og installasjon på Kaspersky sin produktoppdateringsside. Etterpå, følg stegene over.

Sikkerhetsinstillinger for familie i Windows-kontoer

I Microsoft Windows kontoer som er beskyttet av sikkerhetsinstillinger for familie kan sikre tilkoblinger til kjente nettsider som Google, Facebook og YouTube bli avskjært, og deres sertifikat blir erstattet av et tilhørende Microsoft. Dette gjøres så maskinen kan filtrere og loggføre søkeaktivitet.

Les denne Microsoft spørsmål og svar-siden om hvordan du kan skru av disse familiefunksjonene for kontoer. Tilfelle du ønsker å manuelt installere manglende sertifikater for kontoene det gjelder kan du lese denne Microsoft brukerstøtteartikkelen.

Overvåking og filtrering i bedriftsnettverk

Noen overvakings og filtreringsløsninger som brukes i bedriftsmiljøer kan avskjære krypterte tilkoblinger ved å erstatte en nettsides sertifikat med deres egen, samtidig som den muligens trigger feilmeldinger på sikre HTTPS-sider. Hvis du anntar at dette er tilfellet, vennligst kontakt din IT avdeling for å sikre riktig konfigurering av Firefox så den fungerer riktig i et slikt miljø. Man må blant annet muligens installere riktig sertifikater i Firefox.

Skadevare

Noen typer skadevare (malware) som avskjærer kryptert trafikk kan forårsake denne feilmeldingen - vennligst referer til artikkelen Feilsøking av problemer forårsaket av skadelig programvare i Firefox for å finne ut hvordan du kan håndtere skadevareproblemer.

Feilen kommer bare på en bestemt side

I tilfelle du får dette problemet på kun en side er det mest sannsylig bare den nettsiden som ikke er konfigurert ordentlig. Men, hvis du ser det må en legitim, og stor, nettside som Google, Facebook eller Finn.no bør du se videre på stegene over.

Sertifikatet er utsendt av en myndighet som tilhører Symantec

Etter en rekke uregelmessigheter med sertifikater utsendt av Symantec sin rot-autoritet kom til overflaten har nettleserleverandører, inkludert Mozilla, gradvis fjernet tilliten til disse sertifikatene i våre produkter. Første steg er at Firefox versjon 60 ikke lenger stoler på sertifikater som er sikret av Symantec sine rotsertifikater (inkludert Symantec sine merkevarer GeoTrust, RapidSSL, Thawte og VeriSign) som er utsendt før 1. Juni 2016. I Firefox versjon 63 vil dette også gjelde alle symantec sertifikater uavhengig av når de ble utsendt.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED vil bli den vanligste feilmeldingen, men noen tjenere kan vise feilkoden SEC_ERROR_UNKNOWN_ISSUER i stedet. Uansett, hvis du kommer over en slik side burde du kontakte eieren av nettsiden for å fortelle de om problemet. Vi anbefaler eiere av slike nettsider å umiddelbart erstatte disse sertifikatene.

For mer informasjon om dette problemet, se Mozillas blogginnlegg Mistro til Symantec TLS Sertifikater.

Manglende mellomleddssertifikat

På en side med manglende mellomleddssertifikat kan du se følgende feilmeldingsbeskrivelse når du trykker på Avansert (på feilmeldingssiden "Din tilkobling er ikke sikker"):
Sertifikatet er ikke tiltrodd fordi utstedersertifikatet er ukjent.
Serveren sender kanskje ikke med de nødvendige mellomliggende sertifikatene.
Et ekstra rotsertifikat kan være nødvendig å importere.

Nettsiden sertifikat kan være utsedt av en ukjent usteder (Certificate Authority) eller manglende kjede av sertifikater til et gyldig sertifak (ett eller flere såkalte mellomleddsertifikater mangler).
Du kan teste som en slik side er riktig konfigurert ved å skrive nettsidens adresse inn i et tredjepartsverktøy som SSL Labs sin testside. Hvis den returnerer "Chain issues: incomplete", mangler det et gyldig mellomliggende sertifikat. Du bør da kontakte eieren av nettsiden du har problemer med å besøke for å informere de om problemet.

Self-signed certificate

Selvsignerte sertifikater

På en side med selvsignerte sertifikater vil du se følgende feilmeldingsbeskrivelse når du trykker på Avansert nederst på feilmeldingsside:

Sertifikatet er ikke tiltrodd fordi det er selvsignert.

Et selvsignert sertifikat som ikke ble utsedt av en gjenkjent sertifikatmyndighet er ikke til å stole på. Selvsignerte sertifikater kan gjøre dataen din sikker, og hindre andre i å avlytte tilkoblingen, men sier ingenting om hvem som eier serveren, altså hvem som mottar dataen. Det er vanlig for intranett som ikke er offentlig tilgjengelig å bruke denne løsningen, og du kan derfor omgå advarselen for slike sider.

Bypassing the warning

Omgå advarselen

Advarsel: Du bør aldri legge til et sertifikatunntak for en større nettside eller en nettside som behandler finansiell informasjon - i slike tilfeller kan et ugyldig sertifikat være en indikasjon på at din tilkobling er kompromittert av en tredjepart.

Dersom nettsiden tillater det kan du legge til et unntak for å besøke siden, på tross av at sertifikatet ikke er til å stole på som standard:

  1. På feilmeldingssiden, trykk på Avansert
  2. Trykk på Lag et unntak…. En dialog for å bekrefte unntaket kommer så opp.
  3. Les teskten som beskriver problemet med nettsiden. Du kan trykke Vis… for å ta en næremere titt på sertifikatet.
  4. Trykk på Bekreft sikkerhetsunntak hvis du er sikker på at du stoler på dette sertifikatet og denne siden.
// These fine people helped write this article:JCPlus. You can help too - find out how.

Var artikkelen nyttig? Vent ...

Volunteer for Mozilla Support