Как устранить ошибку с кодом "SEC_ERROR_UNKNOWN_ISSUER" на защищённых веб-сайтах

На веб-сайтах, соединение с которыми должно быть защищено (адрес начинается с "https://"), Firefox должен удостовериться, что сертификат, предоставленный веб-сайтом, является действительным. Если сертификат проверить невозможно, Firefox прекратит подключение к веб-сайту и отобразит вместо этого страницу с ошибкой "Ваше соединение не защищено".

В этой статье объясняется, почему вы можете видеть ошибку с кодом "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" или "ERROR_SELF_SIGNED_CERT" на веб-сайтах и как её устранить.

Что означает этот код ошибки?

Во время защищённого соединения веб-сайту требуется представить сертификат, выпущенный доверенным центром сертификации, для того, чтобы Firefox убедился, что пользователь подключен к необходимому сайту и соединение является зашифрованным. Если вы получаете страницу с ошибкой "Ваше соединение не защищено" и видите код ошибки "SEC_ERROR_UNKNOWN_ISSUER" или "MOZILLA_PKIX_ERROR_MITM_DETECTED" после того, как щёлкаете по Дополнительно, это означает, что представленный сертификат был издан центром сертификации, который не известен Firefox, и поэтому ему нельзя доверять по умолчанию.

Fx44 SEC_ERROR_UNKNOWN_ISSUER error

Ошибка появляется на множестве защищённых сайтов

В случае, если вы сталкиваетесь с этой проблемой на множестве не связанных друг с другом HTTPS-сайтов, это указывает на то, что что-то в вашей системе или сети перехватывает ваше соединение и внедряет сертификаты способом, которому не доверяет Firefox. Это отображается как "MOZILLA_PKIX_ERROR_MITM_DETECTED", если Firefox может определить, что соединение перехватывается прокси. В большинстве случаев зашифрованные соединения сканирует антивирусное программное обеспечение, или слушает вредоносная программа, подменяя легитимные сертификаты веб-сайтов на свои собственные.

Антивирусные продукты

Обычно, если ваш антивирусный продукт содержит функцию сканирования зашифрованных соединений, вы можете попытаться переустановить антивирусный продукт, что может заставить программное обеспечение снова установить свои сертификаты в хранилище доверенных сертификатов Firefox. Попробуйте следующие решения для отдельных антивирусных продуктов:

Avast

В антивирусных продуктах Avast вы можете отключить перехват защищённых соединений:

  1. Откройте настройки вашего приложения Avast.
  2. Перейдите в Меню > Настройки > Компоненты и щёлкните Настроить рядом с Web Shield.
  3. Снимите флажок рядом с Включить HTTPS-сканирование и подтвердите это, нажав OK.

Для получения дополнительной информации прочитайте статью Управление HTTPS-сканированием в Web Shield в антивирусе Avast на сайте поддержки Avast. Дополнительная информация об этой функции доступна на этой странице Блога Avast.

Bitdefender

В антивирусных продуктах Bitdefender вы можете отключить перехват защищённых соединений:

  1. Откройте настройки вашего приложения Bitdefender.
  2. Для антивирусного продукта Bitdefender версии 2016 щёлкните на Модули.
    Для Bitdefender версии 2015 щёлкните на Защита.
  3. Нажмите на Веб-защита.
  4. Отключите настройку Сканировать SSL.

Для корпоративных продуктов Bitdefender, пожалуйста, обратитесь к этой странице Центра поддержки Bitdefender.

Bullguard

В продуктах безопасности Bullguard можно отключить перехват защищенных соединений на конкретных крупных сайтах, таких как Google, Yahoo и Facebook:

  1. Откройте панель вашего приложения Bullguard.
  2. Щёлкните по Настройки антивируса > Просмотр.
  3. Снимите флажок с параметра Показывать результат безопасности для тех сайтов, на которых отображается сообщение об ошибке.

ESET

В антивирусных продуктах ESET вы можете попробовать отключить и повторно включить фильтрацию SSL/TLS-протокола или полностью отключить перехват защищённых подключений, как описано в статье справки ESET.

Kaspersky

В антивирусных продуктах Kaspersky вы можете отключить перехват защищённых соединений:

  1. Откройте настройки вашего приложения Kaspersky.
  2. Нажмите на Настройки снизу слева.
  3. Щёлкните Дополнительные и затем Сеть.
  4. Если вы испльзуете антивирусный продукт Kaspersky версии 2016: В разделе Сканирование зашифрованных соединений отметьте флажок Не сканировать зашифрованные соединения и подтвердите это изменение.
    Для альтернативы, вы можете щёлкнуть на Дополнительные настройки для того, чтобы вызвать повторную установку сертификата Kaspersky. В диалоговом окне щёлкните по Установить сертификат… и далее следуйте инструкциям на экране.
    Если вы используете Kaspersky версии 2015: снимите флажок со Сканировать зашифрованные соединения.
  5. Перезапустите вашу систему, чтобы изменения вступили в силу.

    Пользователи более ранней версии Kaspersky с текущей подпиской, имеют право на обновление до последней версии продукта, которая доступна для загрузки и установки на странице дистрибутивов продуктов Kaspersky. После этого следуйте инструкциям выше.

Настройки Family Safety в учётных записях Windows

В учётных записях Microsoft Windows, защищённых настройками Family Safety, защищённые соединения на таких популярных веб-сайтах, как Google, Facebook и Youtube могут перехватываться, а их сертификаты подменяются сертификатами, изданными Microsoft для фильтрации и записи поисковых запросов.

Ознакомьтесь с этой страницей Microsoft ЧаВо, чтобы узнать, как отключить эти компоненты семьи для учётных записей. В случае, если вы хотите вручную установить отсутствующие сертификаты для проблемных учётных записей, вы можете обратиться к этой справочной статье Microsoft.

Наблюдение/фильтрация в корпоративных сетях

Некоторые продукты для наблюдения/фильтрации трафика, использующиеся в корпоративных окружениях, могут перехватывать зашифрованные соединения, подменяя сертификат веб-сайта своим собственным, что может при этом вызывать ошибки на защищённых HTTPS-сайтах.

Если вы подозреваете, что это ваш случай, свяжитесь, пожалуйста, с вашим ИТ-отделом, чтобы узнать, как корректно настроить Firefox для того, чтобы он правильно работал в таком окружении, поскольку необходимый сертификат, возможно, должен быть сначала помещён в хранилище доверенных сертификатов Firefox. Дополнительную информацию для ИТ-отделов о том, что необходимо для этого сделать, можно найти на странице Mozilla Wiki CA:AddRootToFirefox.


Вредоносные программы

Некоторые виды вредоносных программ, перехватывающих зашифрованный веб-трафик, могут вызывать подобное сообщение об ошибке - обратитесь к статье Устранение проблем Firefox, вызванных вредоносными программами, чтобы узнать о том, как решить проблемы с вредоносными программами.

Ошибка появляется только на конкретном сайте

В том случае, если вы сталкиваетесь с этой проблемой только на конкретном сайте, этот тип ошибки обычно указывает на то, что веб-сервер сконфигурирован неправильно. Тем не менее, если вы видите эту ошибку на подлинных крупных сайтах, таких как Google или Фейсбук, или сайтах, на которых проводятся финансовые операции, вы должны выполнить действия, описанные выше.

Сертификат выпущен центром, принадлежащим Symantec

После множества выявленных сбоев с сертификатами, выпущенными корневыми центрами сертификации Symantec, производители браузеров, включая Mozilla, постепенно убирают доверие к этим сертификатам из своих продуктов. В качестве первого шага, Firefox версии 60 больше не будет доверять цепочкам сертификатов, которые восходят к корневым центрам сертификации Symantec (включая все бренды Symantec: GeoTrust, RapidSSL, Thawte и VeriSign) и были выпущены до 1 июня 2016 г. В Firefox версии 63 удаление доверия будет расширено на все сертификаты Symantec, независимо от их даты выпуска.

Основной ошибкой будет MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, но на некоторых серверах вы можете увидеть вместо этого код ошибки SEC_ERROR_UNKNOWN_ISSUER. В любом случае, когда вы проходите через такой сайт, вы должны связаться с владельцами сайта для того, чтобы информировать их об этой проблеме. Мы настоятельно рекомендуем операторам затронутых сайтов провести незамедлительное действие по замене этих сертификатов.

Для получения дополнительной информации об этой проблеме, прочитайте пост Недоверие TLS-сертификатам Symantec в блоге Mozilla.

Отсутствует промежуточный сертификат

На сайте с отсутствующим промежуточным сертификатом вы увидите следующее описание ошибки после того, как щёлкните по Дополнительно на странице ошибки "Ваше соединение не защищено":

К сертификату нет доверия, так как сертификат его издателя неизвестен.
Сервер мог не отправить соответствующие промежуточные сертификаты.
Может понадобиться импортировать дополнительный корневой сертификат.

Сертификат веб-сайта мог не быть выдан доверенным центром сертификации, или не была предоставлена полная цепочка сертификатов до доверенного центра сертификации (отсутствует так называемый "промежуточный сертификат").
Вы можете проверить, что сайт настроен правильно, введя адрес веб-сайта в инструмент стороннего производителя, например на тестовой странице SSL Labs. Если он возвращает результат "Chain issues: Incomplete", значит надлежащий промежуточный сертификат отсутствует. Вам следует связаться с владельцами веб-сайта, на котором вы испытываете проблемы с доступом, чтобы сообщить им об этой проблеме.

Самоподписанный сертификат

На сайте с самоподписанным сертификатом вы увидите код ошибки ERROR_SELF_SIGNED_CERT и последующим описанием ошибки после того, как вы щёлкнете по Дополнительно на странице ошибки "Ваше соединение не защищено":

К сертификату нет доверия, так как он является самоподписанным.

К самоподписанному сертификату, который был выдан непризнанным центром сертификации, по умолчанию нет доверия. Самоподписанные сертификаты могут обеспечить защиту ваших данных от прослушивания, но они ничего не говорят о том, кто является получателем данных. Это характерно для интранет-сайтов, которые не доступны для широкой публики, и вы можете обойти предупреждение для таких сайтов.

Обход предупреждения

Предупреждение: Вам никогда не следует добавлять исключение сертификата для широко известных веб-сайтов или сайтов, где речь идёт о финансовых транзакциях - в этом случае недействительный сертификат может быть индикатором того, что ваше подключение скомпрометировано третьей стороной.

Если веб-сайт это допускает, вы можете добавить исключение для того, чтобы посетить сайт, несмотря на то, что сертификат не является доверенным по умолчанию:

  1. На странице с предупреждением щёлкните Дополнительно.
  2. Щёлкните Добавить исключение…. Отобразится диалоговое окно Добавить исключение безопасности.
  3. Прочитайте текст, описывающий проблемы с веб-сайтом. Вы можете также щёлкнуть Просмотреть… для того, чтобы более тщательно изучить недоверенный сертификат.
  4. Щёлкните Подтвердить исключение безопасности, если уверены. что хотите доверять сайту.

Помогла ли эта статья? Пожалуйста, подождите...

Следующие хорошие люди помогли написать эту статью: Unghost, Harry, Anticisco Freeman, Valery Ledovskoy, Victor Bychek. Вы тоже можете помочь - узнайте как.