Comparar Revisões

Questo articolo spiega perché potrebbe comparire uno dei codici di errore "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" o "ERROR_SELF_SIGNED_CERT" quando si visitano i siti web HTTPS e come risolvere il problema.

Quando con Firefox ci si collega a un [[How do I tell if my connection to a website is secure?|sito web che è crittografato in modo sicuro]] (cioè il cui URL inizia con "http'''s'''://"), il browser deve verificare che il certificato presentato dal sito sia valido. Se il certificato non può essere convalidato, la connessione al sito viene interrotta e viene invece mostrato la pagina di errore "Attenzione: potenziale rischio per la sicurezza". Se si fa clic sul pulsante {button Avanzate}, è possibile visualizzare l'errore specifico restituito dal sito web. Questo articolo spiega perché in una pagina di errore si potrebbero visualizzare i codici di errore SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED o ERROR_SELF_SIGNED_CERT e come risolvere il problema. {note}Per altri codici di errore sulla pagina "Attenzione: potenziale rischio per la sicurezza", leggere l'articolo [[What do the security warning codes mean?]]. Per le pagine di errore "Connessione sicura non riuscita" o "Connessione interrotta: potenziale rischio per la sicurezza", leggere l'articolo [[Secure connection failed and Firefox did not connect]].{/note} __TOC__ = Che cosa significa questo codice di errore = Durante una connessione sicura, un sito web deve fornire un certificato rilasciato da un'[https://it.wikipedia.org/wiki/Certificate_authority autorità di certificazione] attendibile per garantire che l'utente sia collegato al sito designato e che la connessione sia crittografata. Se si fa clic sul pulsante {button Avanzate…} in una pagina di errore "Attenzione: potenziale rischio per la sicurezza" e si visualizza il codice di errore "SEC_ERROR_UNKNOWN_ISSUER" o "MOZILLA_PKIX_ERROR_MITM_DETECTED", ciò significa che il certificato fornito è stato rilasciato da un'autorità di certificazione non riconosciuta da Firefox e che pertanto non può essere considerata attendibile per impostazione predefinita. [[Image:fx135_Avviso_Sec_Error_Unknown_Issuer_it|width=700]] = L'errore si verifica su più siti sicuri = Qualora si riscontri questo problema su più siti HTTPS non correlati tra di loro, significa che qualcosa nel sistema in uso o sulla rete sta intercettando la connessione e "iniettando" certificati in modo tale che non risultino attendibili per Firefox. Le cause più comuni sono legate ai programmi per la sicurezza che scansionano le connessioni crittografate o a malware (programmi malevoli) "in ascolto" e che stanno sostituendo i certificati legittimi del sito web con i propri certificati. In particolare, il codice di errore MOZILLA_PKIX_ERROR_MITM_DETECTED indica proprio che la connessione è stata intercettata. == Prodotti antivirus == I programmi antivirus di terze parti possono interferire con le connessioni sicure di Firefox. {for winxp,win7,mac,linux}Si potrebbe tentare una reinstallazione del prodotto, nell'eventualità che con questa operazione i certificati vengano nuovamente installati in Firefox.{/for} {for win8,win10} Si consiglia la disinstallazione di programmi di terze parti e di affidarsi ai programmi per la sicurezza per Windows offerti da Microsoft: * Windows 8 e Windows 10 - Windows Defender ([https://www.microsoft.com/windows/comprehensive-security integrato]) Se non si desidera disinstallare il programma antivirus di terze parti utilizzato, si consiglia di provare a reinstallarlo. Con questa operazione si dovrebbe riuscire a installare nuovamente il certificato associato al programma nell'archivio certificati di Firefox. {/for} È inoltre possibile provare le seguenti soluzioni per gli specifici prodotti per la sicurezza: === Avast/AVG === Nei prodotti per la sicurezza Avast o AVG, è possibile disattivare la scansione delle connessioni sicure: # Aprire il pannello di controllo dell'applicazione Avast o AVG. # Selezionare {menu Menu} > {menu Impostazioni} > {menu Componenti} e fare clic su {button Personalizza} accanto a {menu Protezione Web}. # Deselezionare la casella accanto a {menu Attiva scansione HTTPS } e confermare facendo clic su {button OK}. #;{note} Nelle versioni più vecchie del prodotto, le opzioni corrispondenti sono disponibili selezionando {menu Menu} > {menu Impostazioni} > {menu Componenti} e facendo clic su {button Personalizza} accanto a {menu Protezione Web}{/note} Per ulteriori informazioni, leggere [https://support.avast.com/it-it/article/189/ questa pagina] sul sito di supporto Avast. Maggiori informazioni su questa funzione sono disponibili (in inglese) su [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ blog di Avast]. === Bitdefender === Nei prodotti per la sicurezza Bitdefender, è possibile disattivare la scansione delle connessioni sicure: # Aprire il pannello di controllo dell'applicazione Bitdefender. # Fare clic su {menu Protezione} e nella sezione {menu Prevenzione minacce online} fare clic su {menu Impostazioni}. # Disattivare l'impostazione {pref Scansione web cifrata}. #;{note} Nelle versioni più vecchie del prodotto, è possibile trovare l'opzione corrispondente denominata {pref Scansione SSL} facendo clic su {menu Moduli} > {menu Protezione web}{/note} Se si utilizza Bitdefender Antivirus Free, non è possibile controllare questa impostazione. Quando si riscontrano problemi di accesso ai siti web sicuri, è possibile invece provare a [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html riparare o rimuovere il programma] (istruzioni in inglese). Per i prodotti aziendali Bitdefender, fare riferimento a questa [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html pagina del Centro di supporto Bitdefender] (in inglese). === BullGuard === Nei prodotti per la sicurezza BullGuard, è possibile disattivare la scansione delle connessioni sicure sui siti web molto noti come Google, Yahoo e Facebook: # Aprire il pannello di controllo dell'applicazione BullGuard. # Fare clic su {menu Impostazioni}, quindi sulla scheda {menu Avanzato} in alto a destra. # Fare clic su {menu Antivirus} e successivamente su {menu Navigazione sicura}. # Sotto la voce {menu Mostra i risultati sicuri su questi siti Web}, deselezionare le caselle relative a quei siti che stanno mostrando un messaggio di errore. === ESET === Nei prodotti per la sicurezza ESET, è possibile provare a disattivare e riattivare {pref Attiva filtraggio protocollo SSL/TLS} o in generale a disattivare la scansione delle connessioni sicure come descritto nell'[http://support.eset.com/kb3126/ articolo del supporto di ESET] (in inglese). === Kaspersky === Gli utenti Kaspersky che riscontrano il problema, dovrebbero eseguire l'aggiornamento alla versione più recente del loro prodotto per la sicurezza in quanto Kaspersky 2019 e versioni successive contengono soluzioni per questo problema. La [https://www.kaspersky.com/downloads pagina dei download Kaspersky] dispone di link per l'aggiornamento (i pulsanti "update") che consentono agli utenti con un abbonamento valido di installare gratuitamente la versione più recente del prodotto. In alternativa, è possibile disattivare la scansione delle connessioni sicure: # Aprire il pannello di controllo dell'applicazione Kaspersky. # Fare clic su {menu Impostazioni} in basso a sinistra. # Fare clic su {menu Addizionale} e quindi su {menu Rete}. # Nella sezione {menu Scansione delle connessioni crittografate} contrassegnare l'opzione {pref Non esaminare le connessioni crittografate} e confermare la modifica. # Infine, riavviare il sistema affinché le modifiche abbiano effetto. {for win8} == Filtro Family Safety negli account utente Windows == Negli account utente Microsoft Windows protetti dal filtro Family Safety, le connessioni sicure a siti molto noti come Google, Facebook e YouTube potrebbero essere intercettate e i certificati di quei siti potrebbero venire sostituiti da un certificato rilasciato da Microsoft per filtrare e registrare l'attività di ricerca dell'utente. Leggere questa [http://windows.microsoft.com/it-it/windows/family-features-remove-uninstall-faq pagina del supporto Microsoft] per istruzioni su come disattivare le funzionalità per la famiglia. Se si desidera installare manualmente il certificato mancante per gli account su cui si riscontra il problema, è possibile fare riferimento a questo [https://support.microsoft.com/it-it/kb/2965142#bookmark-2 articolo del supporto Microsoft]. {/for} == Monitoraggio/filtraggio nelle reti aziendali == Alcuni prodotti di monitoraggio/filtraggio del traffico utilizzati in ambienti aziendali potrebbero intercettare le connessioni cifrate sostituendo il certificato di un sito web con il proprio e, contemporaneamente, generare forse errori sui siti HTTPS sicuri. Se si ritiene che la causa possa essere questa, contattare il proprio dipartimento di IT per verificare quale debba essere la configurazione con cui far funzionare correttamente Firefox nell'ambiente in questione, in quanto è possibile che tale certificato debba prima essere installato nell'archivio certificati di Firefox. Ulteriori informazioni per i dipartimenti IT su come procedere, sono disponibili (in inglese) nella pagina Wiki di Mozilla [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox]. == Malware == Alcune forme di malware, intercettando il traffico web criptato, possono causare questo messaggio di errore. Consultare l'articolo [[Troubleshoot Firefox issues caused by malware]] per informazioni su come affrontare i problemi causati da questi programmi malevoli. = L'errore si verifica solo su un particolare sito. = Se questo problema si verifica solamente su un particolare sito, questo tipo di errore indica generalmente che il server web non è configurato correttamente. Tuttavia, se si visualizza questo errore su un sito web legittimo e importante come Google o Facebook o su siti dove avvengono transazioni finanziarie, si dovrebbe continuare con la [[#w_lerrore-si-verifica-su-molteplici-siti-sicuri|procedura descritta in precedenza]]. == Certificato emesso da un'autorità facente capo a Symantec == <!--Delayed? Discontinued? see discussion https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Dopo aver sperimentato una serie di problemi a causa delle irregolarità dei certificati emessi da Symantec, Mozilla e gli altri produttori di browser stanno progressivamente rimuovendo il supporto a questi certificati dai loro programmi. In Firefox non viene rinnovata la fiducia a certificati che fanno capo a Symantec, compresi tutti i marchi Symantec come GeoTrust, RapidSSL, Thawte e VeriSign che sono stati emessi prima del 06/01/2016.<!--Come prima soluzione, dalla versione 60 di Firefox non viene rinnovata la fiducia a certificati che fanno capo a Symantec (compresi tutti i marchi Symantec come GeoTrust, RapidSSL, Thawte, and VeriSign) che sono stati emessi prima del 06/01/2016. Successivamente, nella versione 63, questo mancato rinnovo viene esteso a tutti i certificati Symantec indipendentemenmte dalla loro data di emissione.--> Per ulteriori informazioni su questo problema, leggere [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ questo articolo] sul blog di Mozilla (in inglese). L'errore restituito sarà del tipo MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, anche se su alcuni server potrà comparire l'errore SEC_ERROR_UNKNOWN_ISSUER. <!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 --> In presenza di questo errore occorrerà contattare il gestore del sito web per informarli del problema. Mozilla incoraggia fortemente gli operatori di questi siti web a prendere immediate misure per sostituire questi certificati. Per ulteriore aiuto, consultare [https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates questo post in inglese] per Symantec, Thawte, GeoTrust e RapidSSL sul blog DigiCert e [https://www.digicert.com/tools DigiCert Tools]. == Certificato intermedio mancante == Su un sito con un certificato intermedio mancante, dopo aver fatto clic su {button Avanzate} sulla pagina di errore, verrà visualizzata la seguente descrizione di errore: {note}Il certificato non è attendibile in quanto l'autorità emittente è sconosciuta.<br>Il server potrebbe non aver inviato i certificati intermedi richiesti.<br>Potrebbe essere necessario importare un certificato radice aggiuntivo.{/note} Il certificato del sito web potrebbe non essere stato rilasciato da un'autorità di certificazione attendibile oppure potrebbe non essere completa la catena di certificati verso un'autorità di certificazione attendibile (risulta cioè mancante un cosiddetto "certificato intermedio"). <br>È possibile eseguire un test per verificare se un sito è correttamente configurato inserendo l'indirizzo del sito web in uno strumento di terze parti come, ad esempio, la [https://www.ssllabs.com/ssltest pagina per i test di SSL Labs]. Se viene restituito il risultato "Chain issues: Incomplete", significa che manca un certificato intermedio corretto. Si dovrebbe contattare il gestore del sito web su cui si stanno riscontrando problemi di accesso per informarlo di questo problema. == Certificati auto-firmati == Su un sito che presenta un certificato auto-firmato, dopo aver fatto clic su {button Avanzate} sulla pagina di errore, si riceverà il codice ERROR_SELF_SIGNED_CERT e la seguente descrizione di errore: {note}Il certificato non è affidabile in quanto auto-firmato.{/note} Un certificato auto-firmato che non è stato emesso da un'autorità di certificazione riconosciuta non è attendibile per impostazione predefinita. I certificati autofirmati impediscono sicuramente l'intercettazione dei dati trasmessi, ma non forniscono alcuna informazione circa il destinatario. Questa situazione è molto comune nelle intranet i cui siti web non sono pubblici e accessibili da Internet e si può ignorare l'avviso per tali siti. == Ignorare il messaggio di avvertimento == {warning}'''Attenzione''': non si dovrebbe mai aggiungere un'eccezione ai certificati per un sito web legittimo e importante o per i siti dove avvengono transazioni finanziarie, in questo caso un certificato non valido può essere un'indicazione che la connessione è compromessa da una terza parte.{/warning} Se consentito dal sito web, è possibile ignorare il messaggio di avvertimento per poter visitare il sito, nonostante il suo certificato non venga riconosciuto come attendibile per impostazione predefinita: # Nella pagina di avviso, fare clic su {button Avanzate}. # Fare clic su {button Accetta il rischio e continua}.