Odpravljanje varnostnih napak s kodo na spletnih mestih z varno povezavo

Na spletnih mestih, ki uporabljajo šifrirano povezavo (katerih spletni naslov se začne s "https://"), mora Firefox preveriti veljavnost potrdila, s katerim se spletno mesto predstavi. Če veljavnosti potrdila ni mogoče preveriti, Firefox ustavi povezovanje na spletno mesto in prikaže stran napake "Pozor: možno varnostno tveganje". S klikom na gumb Napredno si lahko ogledate, na natanko katero napako je Firefox naletel.

Ta članek razlaga, zakaj se lahko na strani napake prikazuje koda SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED ali ERROR_SELF_SIGNED_CERT ter kako jo odpraviti.

Za druge kode napak na strani "Pozor: možno varnostno tveganje" glejte članek Kaj pomenijo kode varnostnih napak?. Za strani z napako Varna povezava ni uspela ali Povezava ni bila vzpostavljena: morebitna varnostna težava glejte članek Varna povezava ni uspela in povezava ni bila vzpostavljena.

Kaj pomeni ta koda napake?

Med varnim povezovanjem mora spletno mesto predstaviti digitalno potrdilo, ki ga je izdal zaupanja vreden overitelj potrdil. Tako zagotovi, da je uporabnik povezan na želeno spletno mesto in da je povezava šifrirana. Če naletite na stran z napako "Pozor: možno varnostno tveganje" in ob kliku na Napredno vidite kodo napake SEC_ERROR_UNKNOWN_ISSUER ali MOZILLA_PKIX_ERROR_MITM_DETECTED, to pomeni, da je predstavljeno digitalno potrdilo izdal overitelj potrdil, ki ga Firefox ne pozna in mu privzeto ne gre zaupati.

Fx67 SEC_ERROR_UNKNOWN_ISSUER

Napaka se pojavlja na več varnih spletnih mestih

Če na to težavo naletite na več nepovezanih spletnih mestih, ki uporabljajo HTTPS, to nakazuje, da nekaj v vašem sistemu ali omrežju prestreza povezave in vstavlja digitalna potrdila na način, ki mu Firefox ne zaupa. V večini primerov je to varnostna programska oprema, ki pregleduje šifrirane povezave, ali zlonamerna programska oprema, ki prisluškuje in zamenjuje zakonita digitalna potrdila spletnih mest s svojimi. To nakazuje koda napake MOZILLA_PKIX_ERROR_MITM_DETECTED, če Firefox zazna, da povezavo nekdo prestreza.

Protivirusni programi

Protivirusni programi tretjih razvijalcev lahko pridejo v konflikt s Firefoxovimi varnimi povezavami. Lahko jih poskusite znova namestiti, pri čemer bodo morda svoja digitalna potrdila ponovno vstavili v Firefoxovo shrambo zaupanja vrednih potrdil.

Priporočamo, da odstranite protivirusne programe tretjih razvijalcev in uporabljate varnostne programe, ki jih Microsoft ponuja za Windows:

  • Windows 8 in Windows 10 – Windows Defender (vgrajen)

Če želite protivirusne programe tretjih razvijalcev obdržati, jih lahko poskusite ponovno namestiti. S tem bo morda protivirusni program ponovno vstavil svoja digitalna potrdila v Firefoxovo shrambo zaupanja vrednih potrdil.

Težave lahko poskusite odpraviti tudi z naslednjimi rešitvami:

Avast/AVG

V varnostnih programih Avast ali AVG lahko poskusite onemogočiti prestrezanje varnih povezav:

  1. Odprite nadzorno ploščo programa Avast ali AVG.
  2. Odprite Menu in kliknite Settings > Protection > Core Shields.
  3. Podrsajte navzdol do Configure shield settings section in kliknite na Web Shield.
  4. Izklopite polje poleg Enable HTTPS Scanning in potrdite spremembo s klikom na OK.
    V starejših različicah programa lahko do omenjene nastavitve pridete tako, da kliknete Menu > Settings > Components in nato poleg Web Shield kliknete Customize.

Za podrobnosti glejte Avastov članek za podporo Managing HTTPS scanning in Web Shield in Avast Antivirus. Več podatkov o tej možnosti je na voljo na blogu programa Avast.

Bitdefender

V Bitdefenderjevih varnostnih programih lahko poskusite onemogočiti prestrezanje varnih povezav:

  1. Odprite nadzorno ploščo aplikacije Bitdefender.
  2. Pojdite na Protection in v odseku Online Threat Prevention kliknite Settings.
  3. Izklopite nastavitev Encrypted Web Scan.
    V starejših različicah programa boste omenjeno nastavitev našli poimenovano kot Scan SSL v meniju Modules > Web Protection.

V programu Bitdefender Antivirus Free te nastavitve ni mogoče spreminjati. Če imate težave z dostopom do varnih spletnih mest, lahko poskusite popraviti ali odstraniti program.

Več o Bitdefenderjevih izdelkih za podjetja lahko izveste na tej strani središča za podporo za Bitdefender.

Bullguard

V varnostnih programih Bullguard lahko poskusite onemogočiti prestrezanje varnih povezav na določena večja spletna mesta, kot so Google, Yahoo in Facebook:

  1. Odprite nadzorno ploščo aplikacije Bullguard.
  2. Kliknite Settings in desno zgoraj na plošči omogočite pogled Advanced.
  3. Pojdite na Antivirus > Safe browsing.
  4. Izklopite možnost Show safe results za spletna mesta, ki prikazujejo sporočilo o napaki.

ESET

V varnostnih programih ESET lahko poskusite onemogočiti in ponovno omogočiti SSL/TLS protocol filtering ali popolnoma onemogočiti prestrezanje varnih povezav, kot je to opisano v članku podpore za ESET.

Kaspersky

Uporabniki programa Kaspersky posodobite varnostni program na najnovejšo različico, saj različica Kaspersky 2019 in novejše vključujejo rešitve teh težav. Uporabniki z aktivno naročnino lahko na posodobitveni strani Kaspersky brezplačno prenesete najnovejšo različico.

V nasprotnem primeru lahko poskusite onemogočiti prestrezanje varnih povezav:

  1. Odprite nadzorno ploščo aplikacije Kaspersky.
  2. Spodaj levo kliknite Settings.
  3. Kliknite Additional in potem Network.
  4. V odseku Encrypted connections scanning označite možnost Do not scan encrypted connections in potrdite spremembo.
  5. Nazadnje ponovno zaženite sistem, da spremembe začnejo veljati.

Nastavitve za družinsko varnost v računih Windows

V računih Microsoft Windows, ki so zaščiteni z nastavitvami za družinsko varnost, lahko pride do prestrezanja varnih povezav na priljubljena spletna mesta, kot so Google, Facebook in YouTube, njihova digitalna potrdila pa so nadomeščena s potrdilom, ki ga je izdal Microsoft, da se lahko filtrira in zapisuje dejavnost iskanja.

Za izklop teh družinskih možnosti v računih si preberite Microsoftovo stran s pogostimi vprašanji. Če želite za prizadete račune ročno namestiti manjkajoča Microsoftova digitalna potrdila, navodila za to najdete v tem članku podpore.

Nadzor/filtriranje v omrežjih podjetij

Nekateri programi za nadzor oziroma filtriranje prometa, ki se jih uporablja v podjetjih, se lahko vmešajo v šifrirane povezave, tako da digitalno potrdilo spletnih mest nadomestijo s svojim, kar lahko vodi do napak na spletnih mestih s HTTPS.

Če sumite, da se to dogaja, se obrnite na svoj oddelek IT in jim naročite, naj to digitalno potrdilo dodajo v shrambo zaupanja vrednih potrdil ter tako zagotovijo pravilno delovanje Firefoxa v takem okolju. Več informacij lahko oddelki IT najdejo na strani Mozilla Wiki CA:AddRootToFirefox.

Zlonamerna programska oprema

To sporočilo o napaki lahko povzročijo tudi nekatere oblike zlonamerne programske opreme, ki prestrezajo šifriran spletni promet - za reševanje težav v takih primerih si oglejte članek Kako v Firefoxu rešiti težave zaradi zlonamernih programov.

Napaka se pojavi samo na določenem spletnem mestu

Če do te težave prihaja samo na določenem spletnem mestu, ta napaka večinoma pomeni, da je spletni strežnik nepravilno nastavljen. Če pa vidite to napako na zakonitem priljubljenem spletnem mestu, kot je Google ali Facebook, ali na spletnem mestu, na katerem potekajo denarne transakcije, morate nadaljevati s koraki, opisanimi zgoraj.

Digitalno potrdilo, ki ga je izdal overitelj, pripadajoč Symantecu

Po razkritju številnih nepravilnosti glede digitalnih potrdil, ki so jih izdali Symantecovi overitelji, ponudniki brskalnikov, vključno z Mozillo, v svojih izdelkih postopno umikajo zaupanje tem potrdilom. Firefox ne bo več zaupal digitalnim potrdilom, katerih izdajatelj je Symantec, vključno z znamkami GeoTrust, RapidSSL, Thawte in VeriSign. Za več informacij glejte to Mozillino objavo.

Glavna koda napake bo MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED, vendar se na nekaterih strežnikih namesto nje lahko prikaže koda SEC_ERROR_UNKNOWN_ISSUER. Če naletite na takšno spletno mesto, se obrnite na njenega lastnika in ga obvestite o težavi.

Skrbnikom prizadetih spletnih mest Mozilla močno priporoča takojšnjo zamenjavo digitalnega potrdila. Pomoč pri tem je na voljo na blogu DigiCerta in v DigiCertovih orodjih.

Manjkajoče vmesno digitalno potrdilo

Na spletnem mestu z manjkajočim vmesnim digitalnim potrdilom se bo ob kliku na Napredno na strani z napako prikazal naslednji opis napake:

Digitalno potrdilo ni vredno zaupanja, ker je njegov izdajatelj neznan.
Strežnik morda ne pošilja primernih vmesnih digitalnih potrdil.
Morda bo potrebno uvoziti dodatno korensko digitalno potrdilo.

Digitalnega potrdila spletnega mesta morda ni izdal zaupanja vreden overitelj, niti ni podana popolna veriga digitalnega potrdila do zaupanja vrednega overitelja (tako imenovano "vmesno digitalno potrdilo" manjka).
Ali je spletno mesto pravilno nastavljeno, lahko preverite, tako da njegov naslov vnesete v orodje, kot je testna stran SSL Labs. Če orodje vrne rezultat "Chain issues: Incomplete", manjka primerno vmesno digitalno potrdilo. Stopite v stik z lastnikom spletnega mesta in ga obvestite, da imate težave z dostopom zaradi težav s potrdilom.

Samopodpisano digitalno potrdilo

Na spletnem mestu s samopodpisanim digitalnim potrdilom boste ob kliku na Napredno na strani z napako videli kodo napake ERROR_SELF_SIGNED_CERT in naslednji opis napake:

Digitalno potrdilo ni vredno zaupanja, ker se je samo podpisalo.

Firefox digitalnim potrdilom, ki so se sama podpisala in ki jih ni izdal preverjen overitelj, privzeto ne zaupa. Samopodpisana potrdila podatke sicer zavarujejo pred prisluškovanjem, vendar ne povedo nič o tem, kdo je prejemnik podatkov. Samopodpisana potrdila so pogosta na intranetnih mestih, ki javno niso dostopna. Na takih mestih lahko opozorilo prezrete.

Preziranje opozorila

Pozor: izjeme nikoli ne smete dodati za zakonito veliko spletno mesto ali za spletno mesto, na katerem potekajo denarne transakcije – v tem primeru je neveljavno potrdilo lahko znak, da se v vašo povezavo vmešava tretja oseba.

Če spletno mesto to dovoli, lahko zaobidete opozorilo in jo obiščete, čeprav ji Firefox privzeto ne zaupa:

  1. Na strani z opozorilom kliknite Napredno.
  2. Kliknite Sprejmi tveganje in nadaljuj.

Vam je bil ta članek v pomoč?

Prosimo počakajte...

Ti prima sodelavci so pomagali napisati ta članek:

Lan, user1133351, Rok
Illustration of hands

Postanite prostovoljec

Pridobivajte in delite svoje znanje z ostalimi. Odgovarjajte na vprašanja in izboljšajte bazo znanja.

Več o tem