Güvenli web sitelerinde "Bağlantınız güvenli değil" hata koduyla ilgili sorunları giderme

Firefox, güvenli bağlantı sunan web sitelerinin ("https://" ile başlayan adresler) sunduğu sertifikanın geçerli olduğunu doğrulamalıdır. Sertifika doğrulanamazsa Firefox o siteyle olan bağlantınızı keser ve "Bağlantınız güvenli değil" hata iletisini gösterir.

Bu sayfada, HTTPS web sitelerindeki "SEC_ERROR_UNKNOWN_ISSUER", "MOZILLA_PKIX_ERROR_MITM_DETECTED" ve "ERROR_SELF_SIGNED_CERT" hata kodlarının neden ortaya çıktığını ve onu nasıl giderebileceğinizi açıklıyoruz.

Bu hata kodu ne anlama geliyor?

Bir web sitesiyle güvenli bağlantı kurulurken, Firefox'un gerçekten o siteye bağlandığını ve bağlantının şifrelendiğini kontrol edebilmesi için sitenin güvenilir bir sertifika makamından alınmış bir sertifika sunması gerekir. "Bağlantınız güvenli değil" hata sayfasıyla karşılaştığınızda Gelişmiş düğmesine tıklayınca "SEC_ERROR_UNKNOWN_ISSUER" veya "MOZILLA_PKIX_ERROR_MITM_DETECTED" hata kodunu görüyorsanız, sitenin sağladığı sertifika, Firefox'un tanımadığı bir sertifika makamı tarafından oluşturulmuş demektir. Firefox bu sertifikalara otomatik olarak güvenmez.

Fx55-SEC_ERROR_UNKNOWN_ISSUER-hatasi_tr

Birçok güvenli sitede bu hatayla karşılaşıyorsanız

Birbiriyle ilişkisi olmayan çeşitli HTTPS sitelerinde bu sorunla karşılaşıyorsanız, sisteminizdeki veya ağınızdaki bir şey, bağlantınıza sızarak Firefox'un güvenmediği sertifikalar enjekte etmeye çalışıyor olabilir. Firefox bağlantınızın vekil sunucu tarafından kesildiğini algılayabildiğinde "MOZILLA_PKIX_ERROR_MITM_DETECTED" hata kodu belirir. En yaygın nedenler; güvenlik yazılımlarının şifrelenmiş bağlantıları taraması, bazı devletlerin (örn. Türkiye) uyguladığı site engelleme politikaları ve kötü amaçlı yazılımların orjinal sertifikaları sahte sertifikalarla değiştirmeleridir.

Antivirüs ürünleri

Genel olarak, güvenlik yazılımınızın şifrelenmiş bağlantıları tarama özelliği varsa yazılımı yeniden yüklemeyi deneyebilirsiniz. Bunu yaptığınızda güvenlik yazılımınız sertifikalarını tekrar Firefox'a yerleştirmeye çalışır. Aşağıdaki güvenlik yazılımlarından birini kullanıyorsanız bu çözümleri deneyebilirsiniz:

Avast

Avast güvenlik ürünlerinde güvenli bağlantıların taranması özelliğini kapatabilirsiniz:

  1. Avast uygulamanızın kontrol panelini açın.
  2. Menü > Bileşenler bölümüne gidin ve Web Kalkanı seçeneğinin yanındaki Özelleştir düğmesine tıklayın.
  3. HTTPS Taraması Etkin ayarının yanındaki kutudan işareti kaldırın ve Tamam düğmesini tıklatarak bu işlemi onaylayın.

Daha fazla bilgi için Avast'ın Managing HTTPS scanning in Web Shield in Avast Antivirus destek makalesine bakabilirsiniz.

Bitdefender

Bitdefender güvenlik ürünlerinde güvenli bağlantıların taranması özelliğini kapatabilirsiniz:

  1. Bitdefender uygulamanızın kontrol panelini açın.
  2. Bitdefender 2016 sürümü için Modüller menüsüne tıklayın.
    Bitdefender 2015 sürümü içinse Koruma menüsüne tıklayın.
  3. Web Koruması'na tıklayın.
  4. SSL Taraması ayarını kapatın.

Kurumsal Bitdefender ürünleri için lütfen Bitdefender Destek Merkezi sayfasına bakın.

Bullguard

Bullguard güvenlik ürünlerinde Google, Yahoo ve Facebook gibi popüler web sitelerinde güvenli bağlantıların taranması özelliğini kapatabilirsiniz:

  1. Bullguard uygulamanızın kontrol panelini açın.
  2. Antivirus ayarları müsünden > Tarama'ya tıklayın.
  3. Hata mesajı veren web siteleri için Güvenli sonuçları göster seçeneğini kaldırın.

ESET

ESET güvenlik yazılımlarında SSL/TLS protokol filtrelemesi seçeneğini kapatıp yeniden açmayı deneyebilirsiniz veya ESET'in destek makalesinde açıklandığı gibi genel olarak güvenli bağlantıların taranmasını devre dışı bırakabilirsiniz.

Kaspersky

Kaspersky güvenlik ürünlerinde güvenli bağlantıların taranması özelliğini kapatabilirsiniz:

  1. Kaspersky uygulamanızın kontrol panelini açın.
  2. Sol alttaki Ayarlar menüsüne tıklayın.
  3. Ek seçeneğine ardından seçeneğine tıklayın.
  4. Kaspersky 2016 sürümünü kullanıyorsanız: Şifrelenmiş bağlatıları tarama bölümünde Şifrelenmiş bağlatıları tarama seçeneğini işaretleyin ve bu değişikliği onaylayın.
    Alternatif olarak, Kaspersky'nin sertifikasının yeniden yüklenmesini tetiklemeye çalışmak için Gelişmiş Ayarlar üzerine tıklayabilirsiniz. Açılan iletişim kutusunda Sertifikayı yükle ... düğmesini tıklayın ve ekrandaki talimatları izleyin.
    Kaspersky 2015 sürümünü kullanıyorsanız: Şifrelenmiş bağlantıları tara seçeneğinin işaretini kaldırın.
  5. Son olarak, değişikliklerin etkili olması için sisteminizi yeniden başlatın.

    Kaspersky ürününün önceki sürümünden geçerli bir aboneliğiniz varsa Kaspersky ürün güncelleme sayfasından son sürümü indirip kurabilirsiniz. Daha sonra yukarıdaki adımları izleyin.

Windows hesaplarında Aile Güvenliği ayarları

Aile Güvenliği ayarları tarafından korunan Microsoft Windows hesaplarında Google, Facebook ve YouTube gibi popüler web sitelerindeki güvenli bağlantılar engellenebilir ve sertifikaları, arama etkinliğini filtrelemek ve kaydetmek için Microsoft tarafından verilen bir sertifikayla değiştirilebilir.

Bu ayarları belli bir kullanıcı için kapatmak isterseniz Microsoft'un Aile özelliklerini nasıl kapatabilirim? makalesine bakın. Etkilenen hesaplar için eksik sertifikaları elle yüklemek isterseniz bu Microsoft destek makalesine bakabilirsiniz.

Kurumsal ağlarda izleme/filtreleme

Kurumsal ortamlarda kullanılan bazı trafik izleme/filtreleme ürünleri, bir web sitesinin sertifikasını ürünün kendi sertifikasıyla değiştirerek şifrelenmiş bağlantıları tarayabilir. Bu durumda güvenli HTTPS sitelerinde hatalar oluşabilir.

Böyle bir durumdan şüpheleniyorsanız Firefox'un doğru şekilde ayarlanması için bilgi işlem bölümünüze danışmanızı öneririz. Güvenli bağlantıların düzgün çalışabilmesi için öncelikle gerekli sertifikanın Firefox sertifika deposuna eklenmesi gerekir. BT departmanları, bu konuyla ilgili daha fazla bilgiyi Mozilla Wiki sayfasında (CA:AddRootToFirefox) bulabilir.

Devlet eliyle izleme/filtreleme

Bazı ülkelerde (örn. Türkiye'de) mevzuata uygun olarak çeşitli sitelere erişim engellenir. Erişime engellenmiş bir güvenli siteye bağlanmaya çalıştığınızda internet servis sağlayıcınız, siteyle aranızdaki güvenli bağlantıya sızarak sizi başka bir sunucuya (örn. engellemeyle ilgili bilgi sayfasına) yönlendirmeye çalışabilir. Firefox buna izin vermez ve SEC_ERROR_UNKNOWN_ISSUER hatası meydana gelir. (Engellenmiş sitelere ulaşmanın yolları bu yazının konusu değildir.)

Malware

Bazı kötü amaçlı yazılımlar da şifrelenmiş web trafiğini izlemeye çalışarak bu hataya neden olabilir. Kötü amaçlı yazılım sorunlarıyla nasıl başa çıkılacağına ilişkin Kötü amaçlı yazılımların nedenle olduğu Firefox sorunlarını giderme makalesine bakabilirsiniz.

Yalnızca belli bir sitede hatayı alıyorsanız

Bu sorunla yalnızca belirli bir sitede karşılaşıyorsanız bu tür bir hata genelde web sunucusunun doğru yapılandırılmadığını gösterir. Bununla birlikte, bu hatayı Google veya Facebook gibi popüler web sitelerinde veya finansal işlemlerin gerçekleştiği sitelerde görürseniz yukarıdaki adımları uygulayın.

Symantec'e ait bir makam tarafından verilen sertifika

Symantec kök makamları tarafından verilen sertifikalarla ilgili bazı usulsüzlükler ortaya çıktıktan sonra, Mozilla da dahil olmak üzere popüler tarayıcı yapımcıları bu sertifikalara güvenmeyi adım adım bırakma kararı aldı. İlk adımda, Firefox 60, 01.06.2016 tarihinden önce yayımlanmış Symantec kök makamlarına (tüm Symantec markaları, GeoTrust, RapidSSL, Thawte ve VeriSign dahil) bağlanan sertifikalara artık güvenmeyecek. Firefox 63'ten itibaren ise yayın tarihinden bağımsız olarak tüm Symantec sertifikalarına güvenilmeyecek.

Bu sorun, MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED hata koduyla tanımlanacaktır ama bazı sunucularda bunun yerine SEC_ERROR_UNKNOWN_ISSUER hata kodunu görebilirsiniz. Böyle bir siteye rastlarsanız web sitesinin sahibiyle iletişime geçerek sorunu bildirebilirsiniz. Sorundan etkilenen sitelerin sahiplerinin derhal sertifikalarını değiştirmelerini şiddetle öneririz.

Bu konu hakkında daha fazla bilgi için Mozilla'nın Distrust of Symantec TLS Certificates blog yazısını okuyabilirsiniz.

Eksik aracı sertifikaları

Aracı sertifikası olmayan bir web sitesinde "Bağlantınız güvenli değil" hata sayfasında Gelişmiş düğmesine tıklarsanız aşağıdaki açıklamayı görürsünüz:

Sertifikaya güvenilmiyor çünkü yayıncısının sertfikası tanınmıyor.
Sunucu uygun aracı sertifikaları göndermiyor olabilir.
Ek bir kök sertifikasının içe alınması gerekebilir.

Bu sitesinn sertifikası güvenilir bir sertifika makamı tarafından verilmemiş olabilir veya güvenilir makam tarafından sunulan tam bir sertifika zinciri sağlanamamış olabilir. (Yani "aracı sertifika" eksiktir).
Bir sitenin düzgün şekilde yapılandırılıp yapılandırılmadığını sitenin adresini SSL Labs' test sayfası gibi üçüncü parti araçlara girerek test edebilirsiniz. Test sonucunda "Chain issues: Incomplete" sonucunu çıkarsa uygun bir aracı sertifikası eksik demektir. Mümkünse web sitesinin sahipleriyle iletişime geçip karşılaştığınız bu hatayı onlara bildirmelisiniz.

Kendi kendine imzalanmış sertifikalar

Kendi kendine imzalanmış bir sertifikaya sahip bir sitedeki "Bağlantınız güvenli değil" hata sayfasında Gelişmiş düğmesine tıklarsanız ERROR_SELF_SIGNED_CERT hata kodunu ve aşağıdaki açıklamayı görürsünüz:

Bu sertifika kendi kendine imzalandığı için sertifikaya güvenilmiyor.

Kendi kendine imzalanmış sertifikalar tanınmış bir sertifika makamı tarafından sunulmadığından varsayılan olarak bu sertifikalara güvenilemez. Kendi kendine imzalanmış sertifikalar verilerinizin dinlenmesini önler ama verilerin gittiği sunucu hakkında hiçbir bilgi vermez. Bu durum, kamuya kapalı olan intranet siteleri için genellikle normaldir; yani tür sitelerde bu uyarıyı geçebilirsiniz.

Uyarıyı görmezden gelme

Uyarı: Ünlü web siteleri veya finansal işlemlerin yapıldığı siteler için hiçbir zaman sertifika istisnası eklememelisiniz. Bunu yaparsanız geçersiz/sahte sertifikalar, bağlantınızın üçüncü taraflarca gözetlenmesine sebep olabilir.

Firefox, girdiğiniz web sitesinin sertifikasına güvenmemesine rağmen rağmen istisna eklemenize izin veriyorsa:

  1. Uyarı sayfasında Gelişmiş düğmesine tıklayın.
  2. İstisna ekle… seçeneğine tıklayın. "Güvenlik istisnası ekle" iletişim kutusu görünecektir.
  3. Web sitesindeki sorunu açıklayan metni okuyun. Güvenilmeyen sertifikayı daha yakından incelemek için Görüntüle…'ye tıklayabilirsiniz.
  4. Siteye güvenmek istediğinizden eminseniz Güvenlik istisnasını onayla düğmesine tıklayın.
// Bu iyi insanlar bu sayfanın yazılmasına yardımcı oldular:Selim Şumlu, Ömer Timur, EmirhanUlas. Siz de yardım edebilirsiniz: Ne yapabileceğinizi öğrenin.

Bu maddeyi yararlı buldunuz mu? Lütfen bekleyin...

Mozilla Destek gönüllüsü olun