Felsökning av säkerhetsfelkoder på säkra webbplatser

På webbplatser som är tänkta att vara säkra (webbadressen börjar med "https://"), måste Firefox kontrollera att certifikatet som presenteras av webbplatsen är giltigt. Om certifikatet inte kan valideras, kommer Firefox stoppa anslutningen till webbplatsen och istället visa felsidan "Din anslutning är inte säker".

I den här artikeln förklaras varför du kan se felkoden "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" eller "ERROR_SELF_SIGNED_CERT" på felsidan och hur du felsöker den.

Vad betyder denna felkod?

Under en säker anslutning måste webbplatsen tillhandahålla ett certifikat utfärdat av en betrodd certifikatutfärdare för att säkerställa att användaren är ansluten till det avsedda målet och anslutningen är krypterad. Om du kommer till felsidan "Din anslutning är inte säker" och ser felkoden "SEC_ERROR_UNKNOWN_ISSUER" eller "MOZILLA_PKIX_ERROR_MITM_DETECTED" efter att du klickat på Avancerat, betyder det att det certifikat som avses utfärdades av en certifikatutfärdare som inte är känd av Firefox och därför går det inte att lita på som standard.

Fx44 SEC_ERROR_UNKNOWN_ISSUER error

Felet uppstår på flera säkra webbplatser

Om du får detta problem på flera orelaterade HTTPS-webbplatser, betyder det att någon på datorn eller nätverket avlyssnar anslutningen och injicerar certifikat på ett sätt som inte är betrott av Firefox. Detta indikeras av "MOZILLA_PKIX_ERROR_MITM_DETECTED" om Firefox kan upptäcka att anslutningen avlyssnas av en proxy. De vanligaste orsakerna är säkerhetsprogramvara skannar krypterade anslutningar eller skadliga program avlyssnar och ersätter legitima webbplatscertifikat med sina egna.

Antivirusprodukter

Generellt om din säkerhetsprodukt innehåller en funktion för att skanna krypterade anslutningar, kan du försöka att ominstallera säkerhetsprodukten, vilket kan framkalla programvaran att placera sina certifikat i arkivet för betrodda certifikat igen. Prova följande lösningar för speciella säkerhetsprodukter:

Avast

I Avast säkerhetsprodukter kan du stänga av avlyssning av säkra anslutningar:

  1. Öppna översiktspanelen i programmet Avast.
  2. Gå till Meny > Inställningar > Komponenter och klicka på Anpassa bredvid Webbskydd.
  3. Avmarkera rutan bredvid Aktivera HTTPS-skanning och bekräfta detta genom att klicka på OK.

Se Avast-supportartikeln Managing HTTPS scanning in Web Shield in Avast Antivirus för detaljer. Mer information om denna funktion finns tillgänglig på denna Avast-blogg.

Bitdefender

I BitDefender säkerhetsprodukter kan du stänga av avlyssning av säkra anslutningar:

  1. Öppna instrumentpanelen i programmet Bitdefender.
  2. För version 2016 av Bitdefender säkerhetsprodukt, klicka på Modules.
    För version 2015av Bitdefender, klicka på Protection.
  3. Klicka på Web Protection.
  4. Växla inställningen Scan SSL.

För företaget BitDefenders produkter hänvisas vi till denna Bitdefender supportsida.

Bullguard

I Bullguard säkerhetsprodukter kan du stänga av avlyssning av säkra anslutningar på vissa stora webbplatser som Google, Yahoo och Facebook:

  1. Öppna instrumentpanelen i programmet Bullguard.
  2. Klicka på Antivirus settings > Browsing.
  3. Avmarkera alternativet Show safe results för de webbplatser som visar ett felmeddelande.

ESET

I ESET säkerhetsprodukter kan du försöka att inaktivera och återaktivera SSL/TLS protocol filtering eller allmänt inaktivera avlyssning av säkra anslutningar som beskrivs i ESET:s supportartikel.

Kaspersky

I Kaspersky säkerhetsprodukter kan du stänga av avlyssning av säkra anslutningar:

  1. Öppna instrumentpanel i programmet Kaspersky.
  2. Klicka på Settings längst ner till vänster.
  3. Klicka på Additional och sedan Network.
  4. Om du använder version 2016av Kaspersky: I avsnittet Encrypted connections scanning kontrollera alternativet Do not scan encrypted connections och bekräfta denna ändring.
    Alternativt kan du klicka på Advanced Settings för att försöka att utlösa en ominstallation av Kasperskys certifikat. I dialogrutan som öppnas klicka på Install certificate… och följ instruktionerna på skärmen.
    Om du använder version 2015 av Kaspersky. Avmarkera alternativet Scan encrypted connections.
  5. Slutligen, starta om systemet för att ändringarna ska träda i kraft.

    Användare av en tidigare version av Kaspersky med en aktuellt abonnemang har rätt till en uppgradering till den senaste versionen av produkten, vilken är tillgänglig för nedladdning och installation på Kasperskys produktuppdateringssida. Därefter följ stegen från ovan.

Family Safety-inställningar i Windows-konton

I Microsofts Windows-konton som skyddas av Family Safety-inställningar kan säkra anslutningar på populära webbplatser som Google, Facebook och YouTube avlyssnas och deras certifikat ersätta med ett certifikat från Microsoft för att filtrera och spela in sökaktivitet.

Läs denna sida om hur man stänger av dessa familjefunktioner för konton. Om du manuellt vill installera de saknade certifikat för berörda konton, kan du hänvisa till denna supportartikel från Microsoft.

Övervakning/filtrering i företagsnätverk

Vissa trafikövervaknings-/filtreringsprodukter som används i företagsmiljöer kan avlyssna krypterade anslutningar genom att ersätta en webbplats certifikat med sitt egna, samtidigt utlösa fel på säkra HTTPS-platser. Om du misstänker att detta kan vara fallet, kontakta din IT-avdelning för att säkerställa en korrekt konfiguration av Firefox så att den fungerar som den ska i en sådan miljö, då det nödvändiga certifikatet kan behöva placeras i arkivet för betrodda certifikat först. Mer information för IT-avdelningar om hur man går till väga med detta finns på Mozilla Wiki-sidan CA:AddRootToFirefox.

Malware

Vissa former av Malware som avlyssnar krypterad webbtrafik kan orsaka detta felmeddelande - se artikeln Troubleshoot Firefox issues caused by malware om hur man handskas med problem från malware.

Felet uppstår endast på vissa webbplatser

Om du får detta problem endast på en viss webbplats, denna typ av fel indikerar generellt att webbservern inte är korrekt konfigurerad. Men om du ser detta fel på en legitim stor webbplats som Google eller Facebook eller webbplatser där finansiella transaktioner äger rum, bör du fortsätta med stegen ovan.

Certifikat utfärdat av en utfärdare som tillhör Symantec

Efter att ett antal oegentligheter med certifikat som utfärdats av Symantecs rotcertifikatutfärdare uppdagades, kommer webbläsarleverantörer ,inklusive Mozilla, gradvis att ta bort förtroende från dessa certifikat i sina produkter. I ett första steg kommer Firefox 60 inte längre att lita på certifikat som kedjar upp till Symantec rotcertifikatutfärdare (inklusive alla Symantecs varumärken GeoTrust, RapidSSL, Thawte och VeriSign) som utfärdades före 2016-06-01. I Firefox 63 kommer denna borttagning av förtroende att utökas till alla Symantec-certifikat, oavsett utfärdandedatum.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED kommer att vara det primära felet men med vissa servrar ser du kanske felkoden SEC_ERROR_UNKNOWN_ISSUER istället. I vilket fall som helst, om du stöter på en sådan webbplats bör du kontakta ägaren av webbplatsen för att informera dem om det problemet. Vi uppmanar starkt operatörer av berörda webbplatser att vidta omedelbara åtgärder för att ersätta dessa certifikat.

Mer information om detta problem finns i Mozillas blogginlägg Distrust of Symantec TLS Certificates.

Mellanliggande certifikat saknas

På en webbplats med ett saknat mellanliggande certifikat kommer du att se följande felbeskrivning när du klickar på Avancerat på felsidan "Din anslutning är inte säker":

Certifikatet är inte betrott eftersom utfärdarcertifikatet är okänt.
Servern kanske inte skickar lämpliga mellanliggande certifikat.
Ett ytterligare rotcertifikat kan behöva importeras.

Webbplatsens certifikat kanske inte själv har utfärdats av en betrodd certifikatutfärdare och ingen fullständig certifikatkedja till en betrodd myndighet lämnades (ett så kallat "mellanliggande certifikat" saknas).
Du kan testa om en webbplats är korrekt konfigurerad genom att ange en webbplats adress till ett tredjepartsverktyg som SSL Labs testsida. Om resultatet är "Chain issues: Incomplete", ett riktigt mellanliggande certifikat saknas. Du bör kontakta ägaren av webbplatsen du har problem med och informera dem om detta problem.

Självsignerat certifikat

På en webbplats med ett självsignerat certifikat ser du felkoden ERROR_SELF_SIGNED_CERT och följande felbeskrivning, när du klickar på Avancerat på feldsidan "Din anslutning är inte säker":

Certifikatet är inte betrott eftersom det är självsignerat.

Ett självsignerat certifikat som inte har utfärdats av en erkänd certifikatutfärdare är inte tillförlitligt som standard. Självsignerade certifikat kan göra dina data säker från avlyssning, men säger ingenting om vem som är mottagare. Detta är vanligt för webbplatser med intranät som inte är tillgängliga för allmänheten och du kan kringgå varningen för sådana webbplatser.

Kringgå varningen

Varning: Du ska aldrig lägga till ett undantagscertifikat för en legitim större webbplats eller webbplatser där finansiella transaktioner äger rum - i detta fall kan ett ogiltigt certifikat vara en indikation på att anslutningen äventyras av en tredje part.

Om webbplatsen tillåter det, kan du lägga till ett undantag för att besöka webbplatsen, trots att dess certifikat inte är betrodd som standard:

  1. På varningssidan, klicka på Avancerat
  2. Klicka på Lägg till undantag…. Fönstret Lägg till säkerhetsundantag öppnas.
  3. Läs texten som beskriver problemen med webbplatsen. Du kan klicka på Visa… för att närmare inspektera otillförlitliga certifikatet också.
  4. Klicka på Bekräfta säkerhetsundantag om du är säker på att du kan lita på webbplatsen.
// Dessa fina människor hjälpte till att skriva den här artikeln:Andreas Pettersson. Du kan också hjälpa till - lära dig hur.

Var den här artikeln till hjälp? Vänligen vänta...

Bli volontär för Mozilla Support