Compare Revisions

připojit zablokován přístup zabezpečená HTTPS

Tento článek vysvětluje, proč se na zabezpečených (HTTPS) webech zobrazuje chybové hlášení "SEC_ERROR_UNKNOWN_ISSUER" a jak tento problém vyřešit.

Na zabezpečených webech (tzn. URL začíná na "http'''s'''://") musí Firefox ověřit, že certifikát, který stránka posílá, je pravý. Pokud nemůže být ověřena jeho pravost, Firefox stránku nezobrazí a místo ní oznámí chybu "{for fx44}[[What does "Your connection is not secure" mean?|Vaše připojení není zabezpečené]]{/for}{for not fx44}[["This Connection is Untrusted" error message appears - What to do|Toto připojení není důvěryhodné]]{/for}". Tento článek vysvětluje, proč vidíte kód chyby "SEC_ERROR_UNKNOWN_ISSUER" na zabezpečených (HTTPS) webech a jak ho můžete řešit. __TOC__ = Co tento kód chyby znamená? = Během zabezpečeného připojení musí Firefox ověřit, zda certifikát, který stránka posílá, je pravý, tzn. zda je vydán důvěryhodnou [https://cs.wikipedia.org/wiki/Certifika%C4%8Dn%C3%AD_autorita certifikační autoritou], aby bylo zajištěno, že se uživatel opravdu připojuje k zamýšlenému serveru. Pokud se vám zobrazí chybové hlášení "{for fx44}Vaše připojení není zabezpečené{/for}{for not fx44}Toto připojení není důvěryhodné{/for}" a po klepnutí na {for fx44}{button Rozšířené}{/for}{for not fx44}{menu Technické detaily}{/for} bude uveden kód chyby "SEC_ERROR_UNKNOWN_ISSUER", znamená to, že certifikát byl podepsán nedůvěryhodnou certifikační autoritou, kterou Firefox nezná a ve výchozím nastavení ji tudíž nemůže důvěřovat. {for fx44}[[Image:pripojeni-neni-zabezpecene2]]{/for} = Tato chyba se objevuje na více zabezpečených webech = Pokud se tento problém vyskytuje na více nesouvisejících zabezpečených webech, znamená to, že něco ve vašem počítači nebo síti zachytává vaše spojení a vkládá do stránek certifikáty, kterým Firefox nedůvěřuje. Nejčastěji to bývá způsobeno bezpečnostním softwarem kontrolujícím zabezpečená spojení nebo [https://cs.wikipedia.org/wiki/Malware malwarem] nahrazujícím legitimní certifikáty jejími vlastními. == Antivirové programy == Pokud má váš antivirus funkci kontrolující šifrovaná/zabezpečená spojení, můžete ho zkusit přeinstalovat, což může způsobit opětné přidání jeho certifikátů do úložiště certifikátů Firefoxu. Zkuste následující řešení pro konkrétní bezpečnostní programy: === Avast === V produktech Avast můžete zakázat odposlech zabezpečených spojení takto: # Zobrazte hlavní panel aplikace Avast. # Přejděte do {menu Nastavení} > {menu Aktivní ochrana} a klepněte na {button Upravit} vedle položky {menu Webový štít}. # Zrušte zaškrtnutí volby {pref Povolit testování HTTPS} a potvrďte klepnutím na {button OK}. Více informací o této funkci najdete zde: [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast Blog]. === Bitdefender === V produktech Bitdefender můžete zakázat odposlech zabezpečených spojení takto: # Zobrazte hlavní panel Bitdefenderu. # V případě Bitdefenderu verze '''2016''' klepněte na {menu Modules}.<br>V případě Bitdefenderu verze '''2015''' klepněte na {menu Protection}. # Klepněte na {menu Web Protection}. # Nastavte {pref Scan SSL} na zakázáno. Pro podnikové verze produktů Bitdefender konzultujte [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html podporu Bitdefenderu]. === Bullguard === V produktech Bullguard můžete zakázat odposlech zabezpečených spojení na velkých webech jako jsou Google, Yahoo a Facebook takto: # Zobrazte hlavní panel aplikace Bullguard. # Klepněte na {menu Antivirus settings} > {menu Browsing}. # Zrušte zaškrtnutí volby {menu Show safe results} pro ty servery, které zobrazují toto chybové hlášení. === ESET === V produktech ESET můžete zkusit vypnout a opět zapnout {pref kontrolu protokolu SSL/TLS}, nebo můžete zkusit vypnout odposlech zabezpečených spojení podle [http://support.eset.com/kb3126/ článku podpory ESETu]. === Kaspersky === V produktech Kaspersky můžete zakázat odposlech zabezpečených spojení takto: # Zobrazte hlavní panel aplikace Kaspersky. # Klepněte na {menu Nastavení} vlevo dole. # Klepněte na {menu Rozšířené nastavení} a poté na {menu Síť}. # V případě Kaspersky verze '''2016''': v sekci {menu Kontrola šifrovaných spojení} zaškrtněte volbu {pref Nekontrolovat šifrovaná spojení} a tuto změnu potvrďte.<br>Eventuálně můžete klepnout na {menu Rozšířená nastavení}, abyste zkusili spustit přeinstalaci certifikátu aplikace Kaspersky. V dialogovém okně, které se otevře, klepněte na {button Instalovat certifikát…} a postupujte podle instrukcí na obrazovce.<br>V případě Kaspersky verze '''2015''' zrušte zaškrtnutí volby {pref Kontrolovat šifrovaná spojení}. # Následně restartujte počítač, aby se provedené změny projevily.<br><br>Uživatelé '''předchozí verze''' produktu Kaspersky s aktuálně platným předplatným mají nárok na aktualizaci na nejnovější verzi, která je k dispozici na [http://www.kaspersky.com/product-updates stránkách Kaspersky]. Ihned po stažení a instalaci nové verze proveďte výše uvedený postup. == Zabezpečení rodiny v systému Windows == V účtech Windows, ve kterých je aktivováno Zabezpečení rodiny, můžou být spojení s populárními weby jako Google, Facebook nebo Youtube zachycovány a jejich certifikáty nahrazeny certifikátem vydaným Microsoftem, aby mohla být aktivita pod těmito účty kontrolována. [http://windows.microsoft.com/cs-cz/windows/family-features-remove-uninstall-faq Zde] se dočtete, jak tyto funkce rodiny vypnout. {for win8, win10}Pokud chcete ručně nainstalovat chybějící certifikáty, přečtěte si [https://support.microsoft.com/en-us/kb/2965142#bookmark-2 tento článek podpory Microsoftu].{/for} == Monitorování/filtrování v podnikových sítích == Některý software pro monitorování/filtrování internetového provozu používaný ve firmách může zachytávat šifrovaná spojení záměnou původního certifikátu za vlastní, čímž může způsobit chyby na zabezpečených webech. Pokud se domníváte, že toto se děje, požádejte vaše IT oddělení o správné nakonfigurování Firefoxu, aby náležitě fungoval v takovém prostředí, jelikož předně asi bude potřeba přidat patřičný certifikát do úložiště certifikátů Firefoxu. == Škodlivý software == Tuto chybu můžou způsobit některé formy malwaru zachytávající šifrovanou webovou komunikaci. Jak se vypořádat s problémy způsobených malwarem se dozvíte v článku [[Troubleshoot Firefox issues caused by malware]]. = Tato chyba se objevuje pouze na jednom webu = Pokud se tento problém vyskytuje pouze na jednom webu, obvykle tento druh chyby znamená, že webový server není správně nakonfigurován. Pokud se však tato chyba objevuje na legitimních velkých webech jako jsou Google či Facebook nebo na webech, kde probíhají finanční transakce, měli byste pokračovat kapitolou ''[[#w_tato-chyba-se-objevuje-na-vagce-zabezpeluenalch-webech|Tato chyba se objevuje na více zabezpečených webech]]''. == Chybějící certifikát mezilehlé CA == Na webech s chybějícím certifikátem mezilehlé certifikační autority uvidíte po klepnutí v chybovém hlášení "{for fx44}Vaše připojení není zabezpečené{/for}{for not fx44}Toto připojení není důvěryhodné{/for}" na tlačítko {for fx44}{button Rozšířené}{/for}{for not fx44}{menu Technické detaily}{/for} tento popis chyby: {note}Certifikát není důvěryhodný, protože jeho vydavatel je neznámý.<br>Server patrně neposílá patřičné certifikáty mezilehlých CA.<br>Může být potřeba naimportovat dodatečný kořenový certifikát.{/note} Certifikát webu pravděpodobně nebyl vydán důvěryhodnou certifikační autoritou a ani nebyl poskytnut kompletní řetěz certifikátů až k důvěryhodné autoritě (chybí tzv. "certifikát mezilehlých certifikačních autorit"). <br>Můžete otestovat, jestli je web správně nakonfigurován zadáním jeho adresy do nějakého nástroje třetí strany jako je např. [https://www.ssllabs.com/ssltest testovací stránka SSL Labs]. Pokud bude výsledkem testu hlášení "Chain issues: Incomplete", chybí patřičný certifikát mezilehlé certifikační autority. Měli byste kontaktovat správce takového webu a informovat ho o této chybě. == Certifikát podepsán sám sebou == Na webech s certifikátem podepsaným sebou samým uvidíte po klepnutí v chybovém hlášení "{for fx44}Vaše připojení není zabezpečené{/for}{for not fx44}Toto připojení není důvěryhodné{/for}" na tlačítko {for fx44}{button Rozšířené}{/for}{for not fx44}{menu Technické detaily}{/for} tento popis chyby: {note}Certifikát není důvěryhodný, protože je podepsán sám sebou.{/note} Certifikát, který je podepsán sám sebou a který nebyl vydán uznávanou certifikační autoritou, je ve výchozím nastavení nedůvěryhodný. Certifikáty, které jsou podepsány sebou samými, zabezpečují vaše data proti odposlouchávání, avšak neříkají nic o tom, kdo je příjemcem vašich dat. Takovéto certifikáty se běžně používají v intranetových webech, které nejsou veřejně přístupné a u takovýchto serverů můžete toto varování obejít. == Jak toto varování obejít == {warning}'''Upozornění:''' Pro legitimní velké weby ani pro weby, kde probíhají finanční transakce, byste nikdy výjimku přidávat neměli – v tomto případě může neplatný certifikát znamenat, že je spojení mezi vámi a webem kompromitováno třetí stranou.{/warning} Pokud to daný server povoluje, můžete přidat výjimku, abyste mohli stránku navštívit, i když Firefox jejímu certifikátu ve výchozím nastavení nedůvěřuje. # Klepněte na {for fx44}{button Pokročilé}{/for}{for not fx44}{menu Uvědomuji si rizika}{/for}. # Klepněte na {button Přidat výjimku...}. Objeví se dialogové okno s nápisem ''Přidání bezepčnostní výjimky''. # Přečtěte si text popisující problémy se stránkou. Můžete klepnout na {button Zobrazit...}, abyste zjistili více o předkládaném certifikátu. # Klepněte na {button Schválit bezpečnostní výjimku} pokud jste si jistí, že chcete stránce důvěřovat.