На захищених веб-сайтах (адреса починається з "https://") Firefox повинен перевіряти чинність наданого сертифікату. Якщо сертифікат перевірити неможливо, Firefox зупинить підключення до такого веб-сайту і покаже повідомлення про помилку "Ваше з'єднання незахищене. Ця стаття пояснює чому ви можете бачити помилку з кодом "SEC_ERROR_UNKNOWN_ISSUER" та як її вирішити.

Що означає цей код помилки?

Протягом захищеного підключення, веб-сайту необхідно надати сертифікат, який випущений для нього акредитованим центром сертифікації з метою гарантування того, що користувач підключається саме до потрібного сайту і що з'єднання є зашифрованим. Якщо ви натомість отримуєте сторінку з помилкою "Ваше з'єднання незахищене" і після натискання кнопки Додатково бачите коди помилки "SEC_ERROR_UNKNOWN_ISSUER", це означає, що наданий сертифікат був випущений невідомим для Firefox центром сертифікації. Firefox типово не довіряє таким сертифікатам.

Помилка трапляється на декількох захищених сайтах

Якщо ви зазнаєте цю проблему на декількох непов'язаних HTTPS-сайтах, то це свідчить про те, що у вашій системі чи мережі є щось, що перехоплює зашифроване підключення та виконує з ним певні маніпуляції. Найбільш прозповсюдженим випадком є безпекове програмне забезпечення, що сканує зашифроване підключення, або шкідливе програмне забезпечення, що підміняє чинні сертифікати своїми власними для обходу шифрування.

Антивіруси

Загалом, якщо вашо безпековий продукт містить функцію сканування зашифрованих з'єднань, то ви можете спробувати ще раз його інсталювати, наслідком чого може стати повторне розміщення сертифікатів безпекового програмного забезпечення у довіреному сховищі Firefox. Також, спробуйте наступні рішення для певних безпекових продуктів:

Avast

У безпекових продуктах Avast ви можете вимкнути перехоплення захищених з'єднань:

1. Відкрийте панель керування свого застосунку Avast.
2. Перейдіть до Settings > Active Protection та натисніть Customize біля Web Shield.
3. Зніміть галочку з опції Enable HTTPS Scanning та підтвердіть свій вибір натисканням кнопки OK.

Більше інформації про цю функцію доступно у цьому блозі Avast.

Bitdefender

У безпековий продуктах Bitdefender ви можете вимкнути перехоплення захищених з'єднань:

1. Відкрийте панель керування свого застосунку Bitdefender.
2. У версії Bitdefender 2016 року натисніть Modules.
   У версії Bitdefender 2015 року натисніть Protection.
3. Натисніть Web Protection.
4. Вимкніть опцію Scan SSL.

Щодо інформації по корпоративним продуктам Bitdefender звертайтеся до сторінки центру підтримки Bitdefender.

Bullguard

У безпекових продуктах Bullguard ви можете вимкнути перехоплення захищених з'єднань на певних відомих веб-сайтах, таких як Google, Yahoo та Facebook:

1. Відкрийте панель керування свого застосунку Bullguard.
2. Перейдіть до Antivirus settings > Browsing.
3. Зніміть галочку з опції Show safe results для тих веб-сайтів, на яких показується повідомлення про помилку.

ESET

У безпекових продуктах ESET ви можете спробувати вимкнути та повторно ввімкнути опцію SSL/TLS protocol filtering чи повністю вимкнути перехоплення захищених з'єднань як описано у цій статті підтримки від ESET.

Kaspersky

У безпекових продуктах Kaspersky ви можете вимкнути перехоплення захищених з'єднань:

1. Відкрийте панель керування свого застосунку Kaspersky.
2. Унизу ліворуч натисніть Settings.
3. Натисніть Additional, потім Network.
4. Якщо ви використовуєте версію Kaspersky 2016 року: у розділі Encrypted connections scanning відмітьте галочку опції Do not scan encrypted connections та підтвердіть цю зміну.
   Альтернативно, ви можете натиснути Advanced Settings, щоб ініціювати повторну інсталяцію сертифікату Kaspersky. У діалозі, що відкрився, натисніть кнопку Install certificate… та слідуйте інструкціям на екрані.
   Якщо ви використовуєте версію Kaspersky 2015 року: зніміть галочку з опції Scan encrypted connections.
5. Після цього перезапустіть свою систему, щоби застосувати внесені зміни.
   
   Користувачі старіших версій Kaspersky підлягають оновленню до останньої версії продукту, що доступне для завантаження та інсталяції на цій сторінці оновлень Kaspersky. Вже після оновлення, виконайте вищевказані кроки.

Налаштування безпеки сім'ї в акаунтах Windows

In Microsoft Windows accounts protected by Family Safety settings, secure connections on popular websites like Google, Facebook and YouTube might be intercepted and their certificates replaced by a certificate issued by Microsoft in order to filter and record search activity.

Read this Microsoft FAQ page on how to turn off these family features for accounts. In case you want to manually install the missing certificates for affected accounts, you can refer to this Microsoft support article.

Monitoring/filtering in corporate networks

Some traffic monitoring/filtering products used in corporate environments might intercept encrypted connections by replacing a website's certificate with their own, at the same time possibly triggering errors on secure HTTPS-sites. If you suspect this might be the case, please contact your IT department to ensure the correct configuration of Firefox to enable it working properly in such an environment, as the necessary certificate might have to be placed in the Firefox trust store first.

Malware

Some forms of malware intercepting encrypted web traffic can cause this error message - refer to the article Чи спричинені мої проблеми з Firefox шкідливими програмами on how to deal with malware problems.

The error occurs on one particular site only

In case you get this problem on one particular site only, this type of error generally indicates that the web server is not configured properly. However, if you see this error on a legitimate major website like Google or Facebook or sites where financial transactions take place, you should continue with the steps outlined above.

Missing intermediate certificate

On a site with a missing intermediate certificate you will see the following error description after you click on AdvancedTechnical Details on the "Your connection is not secureThis Connection is Untrusted" error page:

The website's certificate might not have been issued by a trusted certificate authority itself and no complete certificate chain to a trusted authority was provided either (a so-called "intermediate certificate" is missing).
You can test if a site is properly configured by entering a website's address into a third-party tool like SSL Labs' test page. If it is returning the result "Chain issues: Incomplete", a proper intermediate certificate is missing. You should contact the owner of the website you're having troubles accessing to inform him of that problem.

Self-signed certificate

On a site with a self-signed certificate you will see the following error description after you click on AdvancedTechnical Details on the "Your connection is not secureThis Connection is Untrusted" error page:

A self-signed certificate that wasn't issued by a recognized certificate authority is not trusted by default. Self-signed certificates can make your data safe from eavesdroppers, but say nothing about who the recipient of the data is. This is common for intranet websites that aren't available publicly and you may bypass the warning for such sites.

Bypassing the warning

If the website allows it, you can add an exception in order to visit the site, in spite its certificate is not being trusted by default:

1. On the warning page, click AdvancedI understand the Risks.
2. Click Add Exception…. The Add Security Exception dialog will appear.
3. Read the text describing the problems with the website. You can click View… in order to closer inspect the untrusted certificate as well.
4. Click Confirm Security Exception if you are sure you want to trust the site.