Como resolver os códigos de erro de segurança nos websites seguros

Nos websites que são supostos serem seguros (o URL começa com "https://"), o Firefox deve verificar que o certificado apresentado pelo website é válido. Se o certificado não pode ser validado, o Firefox irá parar a ligação para o website e em vez disso mostra uma mensagem de erro A sua ligação não é seguraAviso: Potencial risco de segurança à frente".

Este artigo explica porque poderá ver os códigos de erro "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" ou "ERROR_SELF_SIGNED_CERT" ou "ERROR_SELF_SIGNED_CERT" na página de erro e como os resolver.


O que é que este código de erro significa?

Durante uma ligação segura, um website deverá fornecer um certificado emitido por uma autoridade de certificação de confiança, de modo a assegurar que o utilizador está ligado ao destino pretendido e a ligação está encriptada. Se clicar em Avançado numa página de erro "A sua ligação não é segura""Aviso: Potencial risco de segurança à frente" e vir o código de erro "SEC_ERROR_UNKNOWN_ISSUER" ou "MOZILLA_PKIX_ERROR_MITM_DETECTED", significa que o certificado fornecido foi emitido por uma autoridade de certificação desconhecida do Firefox, e por isso, não pode ser confiado por predefinição.

Fx44 SEC_ERROR_UNKNOWN_ISSUER error Fx66WarningSEC_ERROR_UNKNOWN_ISSUER

O erro ocorre em vários sites seguros

No caso de ter este problema em vários sites HTTPS não relacionados, isto indica que algo no seu sistema ou rede está a intercetar a sua ligação e a injetar certificados de um modo que não é de confiança pelo Firefox. As causas mais comuns são software de segurança que analisam as ligações encriptadas ou malware, substituindo os certificados legítimos do website com os seus próprios certificados. Em particular, o código de erro "MOZILLA_PKIX_ERROR_MITM_DETECTED" indica que o Firefox consegue detetar que a ligação é intercetada.

Produtos de antivírus

O software antivírus de terceiros pode interferir com as ligações seguras do Firefox. Nós recomendamos a desinstalação desse software e a utilização de software de segurança oferecido para o Windows pela Microsoft:

Se não quiser desinstalar o seu software de terceiros, tente reinstalá-lo, o que pode fazer com que o software coloque os seus certificados novamente na loja confiável do Firefox.

Aqui estão algumas soluções alternativas que pode tentar:

Avast/AVG

Nos produtos de segurança Avast pode desativar a interceção das ligações seguras:

  1. Abra o painel da sua aplicação Avast ou AVG.
  2. Vá para Menu e clique em Definições > Proteção > Escudos Principais.
  3. Deslize para baixo para configurar a secção das definições do escudo e clique em Escudo Web.
  4. Desmarque a opção junto a Permitir pesquisa de HTTPS e confirme clicando em OK.
    Nas versões antigas do produto irá encontrar a opção correspondente quando for para Menu > Definições > Componentes e clicar em Personalizar junto a Escudo Web

Consulte o artigo de apoio do Avast Gerir a pesquisa de HTTPS no Escudo da Web no Avast Antivirus (em inglês) para detalhes. Mais informação sobre esta funcionalidade está disponível neste Blogue do Avast (em inglês).

Bitdefender

Nos produtos de segurança do Bitdefender pode desativar a interceção das ligações seguras:

  1. Abra o painel da sua aplicação Bitdefender.
  2. Vá para Proteção e na secção Prevenções de Ameaças Online clique em Definições.
  3. Desligue a definição Encrypted Web Scan.
    Nas versões antigas do produto pode encontrar a opção correspondente etiquetada Scan SSL quando for para Módulos > Proteção Web

No Bitdefender Antivirus Grátis não é possível controlar esta definição. Pode tentar reparar ou remover o programa (em inglês) quando estiver a ter problemas ao aceder a websites seguros.

Para produtos empresariais do Bitdefender, por favor, consulte esta página do centro de apoio do Bitdefender.

Bullguard

Nos produtos de segurança da Bullguard, pode desativar a interceção de ligações seguras em grandes sites em particular, tais como Google, Yahoo e Facebook:

  1. Abra o painel de instrumentos da sua aplicação Bullguard.
  2. Clique em Definições e ative a visualização Avançada no topo à direita do painel.
  3. Desmarque a opção Mostrar resultados seguros para esses websites que estão a mostrar uma mensagem de erro.

ESET

Nos produtos de segurança do ESET pode tentar desativar e reativar Filtrar o protocolo SSL/TLS ou geralmente desativar a interceção de ligações seguras, como descrito neste artigo de apoio do ESET.

Kaspersky

Os utilizadores afetados do Kaspersky deverão atualizar para a versão mais recente do seu produto de segurança, porque o Kaspersky 2019 e superior contêm mitigações para este problema. A página de transferências do Kaspersky inclui as ligações de "atualização" que irão instalar a versão mais recente (gratuitamente) para os utilizadores com uma subscrição atualizada.

Se não, também pode desativar a interceção das ligações seguras:

  1. Abra o painel da sua aplicação Kaspersky.
  2. Clique em Definições no fundo à esquerda.
  3. Clique em Adicionais e depois em Rede.
  4. Na secção Verificação de ligações encriptadas, marque a opção Não verificar ligações encriptadas e confirme esta alteração.
  5. Finalmente, reinicie o seu sistema para que as alterações tenham efeito.

Definições de Segurança Familiar nas contas do Windows

Nas contas Microsoft Windows protegidas por definições de Segurança Familiar, as ligações seguras em websites populares como o Google, Facebook e YouTube podem ser intercetadas e os respetivos certificados substituídos por um certificado emitido pela Microsoft, para filtrar e registar a atividade de pesquisa.

Consulte esta página de perguntas e respostas da Microsoft sobre como desligar as funcionalidades de família para contas. No caso de querer instalar manualmente os certificados em falta para contas afetadas, consulte este artigo de suporte da Microsoft.

Monitorização/Filtragem em redes empresariais

Alguns produtos de monitorização/filtragem utilizados nos ambientes empresariais podem intercetar ligações encriptadas, substituindo o certificado de um website com o certificado das empresas, e ao mesmo tempo, talvez, causando erros nos sites HTTPS seguros.

Se suspeita que este possa ser o caso, por favor, contacte o seu departamento informático para garantir a correta configuração do Firefox para que o mesmo funcione neste ambiente, pois o certificado necessário pode ter de ser instalado no armazenamento de confiança do Firefox. Pode ser encontrada mais informação para os departamentos de TI sobre como fazer isto na página Wiki da Mozilla CA:AddRootToFirefox.

Software malicioso (malware)

Algumas formas de software malicioso a intercetar o tráfego Web encriptado pode causar esta mensagem de erro - consulte o artigo Solucionar problemas no Firefox causados por software malicioso sobre como lidar com problemas de software malicioso.

O erro ocorre num único site em particular

No caso de observar este problema num único site em particular, este tipo de erro geralmente indica que o servidor Web não está configurado corretamente. No entanto, se vê este erro num grande site web legítimo, como o Google ou o Facebook ou em sites onde ocorrem transações comerciais, deveria continuar com os procedimentos descritos em cima.

Certificado emitido por uma autoridade pretencente à Symantec

Depois de várias irregularidades com certificados emitidos pelas autoridades raiz da Symantec vieram à luz do dia, os fornecedores de navegadores, incluindo a Mozilla, estão a remover gradualmente a confiança destes certificados nos seus produtos. Nuuma primeira etapa, o Firefox 60 não irá confiar mais nos certificados associados com as autoridades raiz da Symantec (incluindo todas as marcas da Symantec GeoTrust, RapidSSL, Thawte e VeriSign) que foram emitidas antes de 01-06-2016. No Firefox 63, esta remoção de confiança será estendida a todos os certificados da Symantec, independentemente da sua data de emissão.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED irá ser um erro primário mas com alguns servidores, mas em vez deste, poderá ver o código de erro SEC_ERROR_UNKNOWN_ISSUER. Em qualquer caso, se se deparar com tal site, deverá contactar o proprietário do website para o informar desse problemas. Nós veementemente encorajamos os operadores dos sites afetados a tomar medidas imediatas para substituir estes certificados.

Para obter mais informação sobre o problema, consulte o artigo do blogue da Mozilla. Desconfiança dos Certificados TLS da Symantec.

Certificado intermediário em falta

Num site com um certificado intermediário em falta, irá ver a seguinte descrição de erro depois de clicar em Avançadas na página de erro "A sua ligação não é segura":

O certificado não é de confiança porque o emissor é desconhecido.
O servidor pode não estar a enviar o certificado intermédio apropriado.
Pode ser necessário importar um certificado de raiz adicional.

O certificado do website pode não ter sido emitido por uma autoridade de certificação confiável e também não foi fornecida uma cadeia de confiança completa para uma autoridade de confiança (um denominado "certificado intermédio" está em falta).
Pode testar se um site está configurado corretamente, inserindo o endereço do website numa ferramenta de terceiros, tal como a página de testes do SSL Labs. Se esta estiver a devolver o resultado "Chain issues: Incomplete", está em falta um certificado intermédio adequado. Deve contactar o proprietário do website no qual está a ter problemas a aceder para o informar desse problema.

Certificado assinado automaticamente

Num site com um certificado assinado automaticamente, irá ver o código de erro ERROR_SELF_SIGNED_CERT e a seguinte descrição do erro, depois de clicar em Avançadas na página de erro "A sua ligação não é segura":

O certificado não é de confiança porque é assinado automaticamente.

Um certificado assinado automaticamente que não é emitido por uma autoridade de certificação reconhecida, não é confiável por predefinição. Os certificados assinados automaticamente podem tornar a sua informação segura contra intrusos, mas não dizem nada sobre os recipientes dos dados. É comum para os websites de intranet que não estão disponíveis publicamente e poderá contornar o aviso para este tipo de sites.

Contornar o aviso

Aviso: nunca deve adicionar uma exceção de certificado para um website legítimo importante ou em sites onde são efetuadas transações financeiras – neste caso, um certificado inválido pode ser uma indicação de que a sua ligação está comprometida por terceiros.

Se o website o permitir, pode adicionar uma exceção para poder visitar o site, apesar do respetivo certificado não ser de confiança por predefinição:

  1. Na página de aviso, clique em Avançadas.
  2. Clique em Adicionar exceções…. O diálogo Adicionar exceção de segurança irá aparecer.
  3. Leia o texto descrevendo os problemas com o website. Pode também clicar em Ver… para conseguir inspecionar de perto o certificado inseguro.
  4. Clique em Confirmar exceção de segurança se tem a certeza de que pretende confiar no site.
// Estas pessoas maravilhosas ajudaram a escrever este artigo:Cláudio Esperança, Carlos Alberto Silva, Manuela Silva. Você também pode ajudar - descubra como.

Este artigo foi útil? Por favor, aguarde...

Colabore no Apoio da Mozilla