Hvordan feilsøke sikkerhetsfeilkoder på sikre nettsider

For nettsteder som er sikkert kryptert (nettadressen begynner med "https://"), må Firefox først verifisere at sertifikatet til nettstedet er gyldig. Dersom sertifikatet ikke kan valideres, stopper Firefox oppkoblingen og viser en "Advarsel: Potensiell sikkerhetsrisiko forut"-feilmeldingsside istedet. Ved å klikke på Avansert…-knappen, får du se detaljer om den feilen Firefox traff på.

Denne artikkelen forklarer noen grunner til hvorfor du ser feilkoder som SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED eller ERROR_SELF_SIGNED_CERT på en feilside og hvordan du kan feilsøke dem.

For forklaringer til andre feilkoder på feilmeldingssiden "Advarsel: Potensiell sikkerhetsrisiko forut", les artikkelen Hva betyr kodene i sikkerhetsadvarslene?. For feilsidene Sikker tilkobling mislyktes og Koblet ikke til: Potensielt sikkerhetsproblem, les artikkelen Sikker forbindelse ble ikke opprettet og Firefox koblet ikke opp.

Hva betyr denne feilkoden?

Under opprettelsen av en sikker tilkobling, må nettstedet oppgi et sertifikat utstedt av en anerkjent utsteder (certificate authority) for å bekrefte at brukeren er koblet opp mot det ønskede nettstedet og at tilkoblingen er kryptert. Hvis du klikker på Avansert…-knappen på en "Advarsel: Potensiell sikkerhetsrisiko forut"-side og du ser feilkoden SEC_ERROR_UNKNOWN_ISSUER eller MOZILLA_PKIX_ERROR_MITM_DETECTED, betyr det at sertifikatet er utgitt av en utsteder som Firefox ikke kjenner til og dermed i utgangspunktet ikke kan stoles på.

Fx115WinNorskAdvarselPotSikkRiskSEC_ERR_UNKNOWN_USER

Feilmeldingen kommer på flere sikre nettsteder

Dersom du har dette problemet på flere uavhengige HTTPS-sider, kan det tyde på at noe på maskinen din eller nettverket ditt avskjærer tilkoblingen og setter inn sertifikater på en måte Firefox ikke stoler på. De vanligste årsakene er sikkerhetsprogramvare som skanner kryptert trafikk eller skadevare som erstatter legitime nettstedsertifikater med sine egne. Spesielt feilkoden MOZILLA_PKIX_ERROR_MITM_DETECTED indikerer at Firefox oppdaget at forbindelsen ble avskåret.

Antivirusprodukter

Tredjeparts antivirusprogramvare kan forstyrre sikre forbindelser til Firefox. Du kan forsøke å reinstallere programvaren, noe som kan få den til å legge sine sertifikater inn i Firefox sitt lager av betrodde sertifikater igjen.

Vi anbefaler at du avinstallerer tredjepartsprogramvaren og bruker Microsofts sikkerhetsprogramvare for Windows:

Om du ikke vil avinstallere tredjeparts-programvaren, kan du forsøke å reinstallere den, noe som kan få programvaren til å legge sine sertifikater inn i Firefox sitt lager av betrodde sertifikater igjen.

Her er noen alternative løsninger du kan prøve:

Avast/AVG

Slik deaktiverer du avskjæring av sikre tilkoblinger i Avast eller AVG sine sikkerhetsprodukter:

  1. Åpne instrumentpanelet (dashboard) til din Avast eller AVG applikasjon.
  2. Åpne Meny og klikk på Innstillinger > Aktiv beskyttelse > Core Shields.
  3. Rull ned til avsnittet om konfigurering av beskyttelse og klikk på Web Shield.
  4. Fjern markeringen ved Aktiver HTTPS Scanning og bekreft dette ved å klikke på OK.
    I eldre versjoner av produktet finner du tilsvarende valg ved å åpne Meny > Innstillinger > Komponenter og klikker på Tilpass ved siden av Web Shield

Les Avast brukerstøtteartikkel Managing HTTPS scanning in Web Shield in Avast Antivirus for detaljer. Mer informasjon om denne funksjonen er tilgjengelig på Avast sin blogg.

Bitdefender

Slik deaktiverer du avskjæring av sikre tilkoblinger i Bitdefender sine sikkerhetsprodukter:

  1. Åpne instrumentpanelet (dashboard) til din Bitdefender applikasjon.
  2. Åpne Protection og i avsnittetOnline Threat Prevention klikk på Settings.
  3. Sett Encrypted Web Scan til OFF.
    I eldre versjoner av produktet finner du det samme valget som Scan SSL når du åpner Modules > Web Protection

I Bitdefender Antivirus Free er det ikke mulig å endre denne innstillingen. Du kan istede prøve å reparere eller avinstallere programmet når du har problemer med tilgang til sikre nettsteder.

For bedriftsproduktene til Bitdefender, åpne Bitdefenders brukerstøttesider.

Bullguard

I Bullguard sine sikkerhetsprodukter kan du deaktivere avskjæringen av sikre tilkoblinger på bestemte store nettsteder som Google, Yahoo og Facebook

  1. Åpne instrumentpanelet (dashboard) til din Bullguard applikasjon.
  2. Åpne Instillinger og aktiver Avansert visning oppe til høyre.
  3. Åpne Antivirus > Safe browsing.
  4. Fjern markeringen ved Vis sikre resultater-alternativet for de nettstedene der du ser feilmeldingen.

ESET

I ESET sine sikkerhetsløsninger kan du prøve å deaktivere og reaktivere SSL/TLS protokollfiltrering eller mer generelt, deaktivere avskjæringen av sikre tilkoblinger som beskrevet i ESETs brukerstøtteartikkel.

Kaspersky

Berørte Kaspersky-brukere bør oppgradere til den nyeste versjonen av sikkerhetsproduket sitt, fordi fra og med Kaspersky 2019 inneholder produktet rettinger som løser dette problemet. Kasperskys nedlastingsside har "Oppdater produkt" lenker som installerer den nyeste versjonen gratis for brukere med et løpende abonnement.

Ellers kan du deaktivere avskjæringen av sikre tilkoblinger på følgende måte:

  1. Åpne instrumentpanelet (dashboard) til Kaspersky applikasjonen din.
  2. Klikk på Innstillinger nede til venstre.
  3. Klikk på Mer og velg Nettverk.
  4. I avsnittet Kryptert tilkoblingsskanning marker Ikke skann krypterte tilkoblinger-alternativet og bekreft endringen.
  5. Til slutt, start maskinen på nytt for at endringene skal tre i kraft.

Sikkerhetsinnstillinger for familie i Windows-kontoer

I Microsoft Windows kontoer som er beskyttet av sikkerhetsinnstillinger for familie, kan sikre tilkoblinger til kjente nettsteder som Google, Facebook og YouTube bli avskåret, og deres sertifikat blir erstattet av et tilhørende Microsoft. Dette gjøres så maskinen kan filtrere og loggføre søkeaktivitet.

Les denne Microsoft spørsmål og svar-siden om hvordan du kan skru av disse familiefunksjonene for kontoer. Tilfelle du ønsker å manuelt installere manglende sertifikater for kontoene det gjelder kan du lese denne Microsoft brukerstøtteartikkelen.

Overvåking og filtrering i bedriftsnettverk

Noen overvåkings- og filtreringsløsninger som brukes i bedriftsmiljøer kan avskjære krypterte tilkoblinger ved å erstatte et nettsteds sertifikat med deres eget, samtidig som de muligens trigger feilmeldinger på sikre HTTPS-nettsteder.

Hvis du mistenker at dette er tilfellet, vennligst kontakt IT-avdelingen din for å sikre riktig konfigurering av Firefox så den fungerer riktig i et slikt miljø. Man må blant annet muligens installere riktig sertifikater i Firefox sitt lager av betrodde sertifikater. På Mozilla Wiki-siden CA:AddRootToFirefox finnes det informasjon for IT-avdelinger vedrørende hvordan man gjør dette.

Skadevare

Noen typer skadevare (malware) som avskjærer kryptert trafikk kan forårsake denne feilmeldingen - vennligst referer til artikkelen Feilsøking av problemer forårsaket av skadelig programvare i Firefox for å finne ut hvordan du kan håndtere skadevareproblemer.

Feilen kommer bare på et bestemt nettsted

I tilfelle du får dette problemet på kun et bestemt nettsted, er det mest sannsynlig bare det nettstedet som ikke er konfigurert korrekt. Men hvis du opplever dette på et legitimt, kjent nettsted som Google eller Facebook, eller på nettsteder der finansielle transaksjoner finner sted, bør du fortsette videre med stegene beskrevet over.

Sertifikat utstedt av Symantec

Etter at en rekke uregelmessigheter med sertifikater utstedt av Symantec sin rot-autoritet ble avdekket, har nettleserleverandører, inkludert Mozilla, gradvis fjernet tilliten til disse sertifikatene i sine produkter. Firefox underkjenner sertifikater utstedt av Symantec, inkludert de utstedt av merkevarene GeoTrust, RapidSSL, Thawte og Verisign. For mer informasjon, les denne Mozilla bloggen.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED vil være den vanligste feilmeldingen, men for noen tjenere vil du se feilkoden SEC_ERROR_UNKNOWN_ISSUER i stedet. Om du kommer over et slikt nettsted bør du kontakte eieren og informere om problemet.

Mozilla anbefaler på det sterkeste eiere av slike nettsteder å umiddelbart erstatte disse sertifikatene. For mer hjelp, les denne DigiCert bloggen og DigiCert Tools.

Manglende mellomleddssertifikat

På et nettsted med manglende mellomleddssertifikat vil du se følgende feilbeskrivelse når du klikker på Avansert… på feilmeldingssiden:

Sertifikatet blir ikke stolt på fordi utstedersertifikatet er ukjent.
Tjeneren sender kanskje ikke med de nødvendige mellomliggende sertifikatene.
Et ekstra rotsertifikat kan være nødvendig å importere.

Nettstedets sertifikat kan selv være utstedt av en ikke-klarert usteder og det mangler en ubrutt sertifikatkjede til en klarert utsteder (ett eller flere såkalte mellomleddsertifikater mangler).
Du kan teste som et nettsted er riktig konfigurert ved å skrive nettstedets adresse inn i et tredjepartsverktøy som SSL Labs sin testside. Hvis den returnerer "Chain issues: incomplete", mangler det et gyldig mellomliggende sertifikat. Du bør da kontakte eieren av nettstedet du har problemer med å besøke for å informere de om problemet.

Selvsignert sertifikat

På et nettsted med selvsignert sertifikat vil du se feilkoden ERROR_SELF_SIGNED_CERT og følgende feilbeskrivelse når du klikker på Avansert… nederst på feilmeldingssiden:

Sertifikatet er ikke tiltrodd fordi det er selvsignert.

Et selvsignert sertifikat som ikke er utstedt av en anerkjent sertifikatmyndighet stoles i utgangspunktet ikke på. Selvsignerte sertifikater kan sikre dataene dine mot å bli avlytte, men sier ingenting om hvem mottageren av dataene er. Dette er vanlig for nettsteder på intranett som ikke er offentlig tilgjengelig, og du kan derfor overse advarselen for slike sider.

Overse advarselen

Advarsel: Du bør aldri legge til et sertifikatunntak for legitime, kjente nettsteder eller et nettsted som behandler finansiell informasjon - i slike tilfeller kan et ugyldig sertifikat være en indikasjon på at din tilkobling er kompromittert av en tredjepart.

Dersom nettsiden tillater det kan du overse advarselen for å besøke siden, på tross av at sertifikatet i utgangspunktet ikke er til å stole på:

  1. På feilmeldingssiden, klikk på Avansert…
  2. Klikk på Godta risikoen og fortsett.

Var artikkelen nyttig?

Vent ...

These fine people helped write this article:

Illustration of hands

Volunteer

Grow and share your expertise with others. Answer questions and improve our knowledge base.

Learn More