Cách khắc phục lỗi bảo mật trên các trang web bảo mật

Trên các trang web được cho là an toàn ( phần URL bắt đầu với "https://"), Firefox phải xác minh rằng chứng chỉ được cung cấp bởi trang web là hợp lệ. Nếu chứng chỉ không hợp lệ, Firefox sẽ ngừng kết nối tới trang web và hiển thị "Kết nối của bạn là không an toàn""Cảnh báo: Rủi ro bảo mật tiềm tàng" trên trang lỗi thay thế.

Bài viết này giải thích lí do vì sao bạn có thể thấy lỗi SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED hoặc ERROR_SELF_SIGNED_CERT trên một trang web và cách để khắc phục chúng.

Cảnh báo bảo mật có nghĩa là gì?

Một kết nối là an toàn khi một trang web phải cung cấp chứng đáng tin cậy được cấp bởi cung cấp chứng chỉ đáng tin cậy để đảm bảo rằng người dùng được kết nối với địa chỉ dự định và kết nối được mã hoá. Nếu bạn nhấn vào nút Nâng cao trên trang "Kết nối của bạn không an toàn""Cảnh bảo: Rủi ro bảo mật tiềm tàng" và bạn sẽ thấy dòng mã SEC_ERROR_UNKNOWN_ISSUER hoặc MOZILLA_PKIX_ERROR_MITM_DETECTED, điều đó có nghĩa là chứng chỉ được cung cấp bởi cơ quan cấp chứng chỉ mà Firefox không biết trước và do đó không thể tin cậy

Fx44 SEC_ERROR_UNKNOWN_ISSUER error Fx66WarningSEC_ERROR_UNKNOWN_ISSUER

Lỗi sảy ra trên nhiều trang web bảo mật

Trong trường hợp bạn gặp sự cố này trên nhiều trang web HTTPS riêng biệt, điều đó cho thấy rằng có cái gì đó trên hệ thống hoặc mạng của bạn đang chặn kết nối và thêm chứng chỉ không được Firefox tin cậy. Các nguyên nhân phổ biến nhất là các phần mềm bảo mật quét các kết nối được mã hoá hoặc phần mềm độc hại đang hoạt động, thay thế chứng chỉ hợp pháp bằng chính chúng. Trường hợp cụ thể, với mã lỗi MOZILLA_PKIX_ERROR_MITM_DETECTED chỉ ra rằng Firefox phát hiện ra rằng kết nối của bạn đã bị chặn.

Các phần mềm diệt virus

Các phần mềm diệt virus của bên thứ ba có thể can thiệp vào các kết nối an toàn của Firefox. Chúng tôi khuyên bạn nên gỡ cài đặt phần mềm của bên thứ ba và sử dụng phần mềm bảo mật được cung cấp cho Windows bởi Microsoft:

Nếu bạn không muốn gỡ cài đặt phần mềm của bên thứ ba, bạn có thể thử cài đặt lại phần mềm, điều này có thể kích hoạt phần mềm đặt lại chứng chỉ của nó vào kho uỷ thác của Firefox

Dưới đây là một số giải pháp thay thế bạn có thể thử:

Avast/AVG

Trên các sản phẩm bảo mật của Avast hoặc AVG, bạn có thể vô hiệu hóa việc chặn các kết nối an toàn:

  1. Mở bảng điều khiển của ứng dụng Avast hoặc AVG của bạn.
  2. Đi tới Menu và chọn Settings > Protection > Core Shields.
  3. Kéo xuống dưới tới Configure shield settings section và chọn Web Shield.
  4. Bỏ chọn Enable HTTPS Scanning và xác nhận bằng cách nhấn nút OK.
    Trên các phiên bản cũ hơn của sản phẩm, bạn sẽ tìm thấy tuỳ chọn tương ứng trong Menu > Settings > Components và chọn Customize bên cạnh Web Shield

Xem bài viết hỗ trợ của Avast Managing HTTPS scanning in Web Shield in Avast Antivirus để biết thêm chi tiết. Rất nhiều thông tin thêm về tính năng này có sẵn trên trang Avast Blog.

Bitdefender

Trên các sản phẩm bảo mật của Bitdefender, bạn có thể vô hiệu hoá việc chặn các kết nối an toàn:

  1. Mở bảng điêu khiển của ứng dụng Bitdefender .
  2. Đi tới Protection và chọn Online Threat Prevention nhấn chọn Settings.
  3. Tắt chế độ Encrypted Web Scan.
    Trên các phiên bản cũ hơn của sản phẩm, bạn có thể tìm thấy tuỳ chọn được gán nhãnScan SSL khi bạn đi tới Modules > Web Protection

Trên các phiên bản Bitdefender Antivirus Free, bạn sẽ không thể thực hiện các tuỳ chỉnh này. Bạn có thể thử sửa chữa hoặc gỡ bỏ chương trình thay vào đó khi bạn gặp các sự cố khi truy cập trang web bảo mật.

Đối với các sản phẩm Bitdefender của công ti, vui lòng tham khảo Bitdefender Support Center page.

Bullguard

Trên các sản phẩm bảo mật của Bullguard, bạn có thể vô hiệu hoá việc chặn các kết nối an toàn trên các trang web lớn cụ thể như Google, Yahoo và Facebook:

  1. Mở bảng điều khiển của ứng dụng Bullguard .
  2. Đi tớiSettings và chọn Advanced ở phía trên bên phải của bảng điều khiển.
  3. Đi tới Antivirus > Safe browsing.
  4. Bỏ tuỳ chọn Show safe results cho các trang web đang hiển thị thông báo lỗi.

ESET

Trên các sản phẩm bảo mật của ESET bạn có thể thử tắt và bật lại SSL/TLS protocol filtering hoặc vô hiệu hoá việc chặn các kết nối an toàn như được miêu tả trong ESET’s support article.

Kaspersky

Người dùng bị ảnh hưởng bởi Kaspersky nên nâng cấp lên phiên bản bảo mật mới nhất của họ, vì Kaspersky 2019 trở lên có chứa các biện pháp giảm thiểu cho vấn đề này. Trang Kaspersky Downloads page bao gồm các liên kết "Cập nhật" sẽ cài đặt miễn phí phiên bản mới nhất cho người dùng có đăng kí hiện tại.

Nếu không, bạn cũng có thể vô hiệu hoá việc chặn các kết nối an toàn:

  1. Mở bảng điều khiển của ứng dụng Kaspersky.
  2. Đi tới Settings nằm ở dưới cùng phía bên trái.
  3. Nhấn chọn Additional và chọn Network.
  4. Trong phần Encrypted connections scanning hãy kiểm tra tuỳ chọn Do not scan encrypted connections và xác nhận thay đổi này.
  5. Cuối cùng, khởi động lại máy tính để hoàn tất việc thiết lập

Cài đặt Family Safety trong tài khoản Windows

Trong các tài khoản Microsoft Windows được bảo vệ bởi cài đặt Family Safety, các kết nối an toàn trên các trang web phổ biến như Google, Facebook và Youtube có thể bị chặn và chứng chỉ của chúng được thay thế bằng chứng chỉ cho Microsoft cấp để lọc và ghi lại các hoạt động tìm kiếm.

Đọc thêm Microsoft FAQ page về cách tắt các tính năng gia đình cho các tài khoản này. Trong trường hợp bạn muốn cài đặt thủ công các chứng chỉ còn thiếu cho các tài khoản bị ảnh hưởng, bạn có thể tham khảo bài viết Microsoft support article.

Giám sát/lọc trong mạng công ti

Một số sản phẩm giám sát/lọc lưu lượng truy cập được sử dụng trong môi trường doanh nghiệp có thể chặn các kết nối được mã hoá bằng cách thay đổi chứng chỉ của trang web bằng chính chúng, đồng thời có thể gây ra lỗi trên các trang web HTTPS.

Nếu bạn gặp trường hợp này, vui lòng liên hệ với bộ phận IT của bạn để đảm bảo cấu hình chính xác của Firefox, cho phép nó hoạt động chính xác trong môi trường như vậy, vì chứng chỉ cần thiết phải được cài đặt trong kho tin cậy của Firefox trước tiên. Thông tin thêm cho các bộ phận IT về cách thực hiện điều này có thể được tìm thấy trong trang Mozilla Wiki CA:AddRootToFirefox.

Phần mềm độc hại

Một số phần mềm độc hại chặn lưu lượng truy cập web được mã hoá có thể gây ra thông báo lỗi này - tham khảo bài viết Khắc phục sự cố Firefox do phần mềm độc hại về cách sử lí sự cố do các phần mềm độc hại

Lỗi chỉ sảy ra trên một trang web cụ thể

Trong trường hợp bạn chỉ gặp sự cố này trên một trang web cụ thể, loại lỗi này thường chỉ ra rằng máy chủ của web không được cấu hình đúng. Tuy nhiên, nếu bạn thấy lỗi này trên một trang web lớn hợp pháp như Google, Facebook hoặc các trang web diễn ra giao dịch tài chính, bạn nên tiếp tục với Lỗi sảy ra với nhiều trang web bảo mật.

Vấn đề chứng chỉ được cấp bởi cơ quan thuộc Symantec

Sau khi một số bất thường với các chứng chỉ do các cơ quan gốc Symantec được đưa ra ánh sáng, các nhà cung cấp trình duyệt bao gồm Mozilla đang dần loại bỏ niềm tin từ các chứng chỉ này khỏi sản phẩm của họ. Trong bước đầu tiên, Firefox 60 sẽ không còn tin tưởng vào các chứng chỉ gốc của Symantec ( bao gồm các nhãn hiệu Symantec GeoTrust, RapidSSL, Thawte, và VeriSign) đã được cấp trước 2016-06-01. Trên Firefox 63 việc loại bỏ này sẽ được mở rộng cho tất cả các chứng chỉ Symantec bất kể ngày phát hành của chúng.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED sẽ là lỗi chính nhưng với một số máy chủ, bạn có thể thấy mã lỗi SEC_ERROR_UNKNOWN_ISSUER thay thế. Trong mọi trường hợp, nếu bạn gặp một trang web như vậy, bạn nên liên hệ với chủ sở hữu trang web. Chúng tôi đặc biệt khuyến khích các nhà điều hành của các trang web bị ảnh hưởng hành động ngay lập tức để thay thế các chứng chỉ này.

Để biết thêm thông tin về vấn đề này, tham khảo bài đăng trên blog của Mozilla Distrust of Symantec TLS Certificates.

Thiếu chứng chỉ trung gian

Trên trang web bị thiếu chứng chỉ trung gian, bạn có thể thấy mô tả lỗi sau khi nhấn vào Nâng cao trên trang bị lỗi:

Chứng chỉ không đáng tin cậy bởi vì nhà cung cấp chứng chỉ không xác định.
Máy chủ có thể không gửi chứng chỉ trung gian phù hợp.
Chứng chỉ gốc bổ sung có thể cần phải nhập.

Chứng chỉ của trang web có thể không được cấp bởi chính cơ quan chứng nhận tin cậy và không có chuỗi chứng chỉ hoàn chỉnh nào cho cơ quan đáng tin cậy được cung cấp ( hoặc gọi là thiếu "chứng chỉ trung gian").
Bạn có thể kiểm tra xem một trang web có được cấu hình đúng hay không bằng cách nhập địa chỉ của trang web vào công cụ của bên thứ ba như SSL Labs' test page. Nếu kết quả trả về là "Sự cố chuỗi: Không hoàn thành", chứng chỉ trung gian phù hợn đã bị thiếu. Bạn nên liên hệ với chủ sở hữu trang web đang gặp sự cố để thông báo cho họ về vấn đề đó.

Chứng chỉ tự ký

Trên trang web có chứng chỉ tự ký, bạn sẽ thấy mã lỗi ERROR_SELF_SIGNED_CERT và mô tả lỗi sau, sau khi nhấn vào Nâng cao trên trang bị lỗi:

Chứng chỉ không đáng tin cậy vì nó tự kí.

Một chứng chỉ tự kí không được cấp bởi cơ quan chứng nhận không được tin cậy theo mặc định. Chứng chỉ tự kí có thể giúp bạn an toàn khỏi những kẻ nghe trộm, nhưng không nói gì về việc người nhận dữ liệu là ai. Điều này là phổ biến với các trang web mạng nội bộ không công khai và bạn có thể bỏ qua cảnh báo cho các trang web đó

Bỏ qua cảnh báo

Cảnh báo: Bạn không bao giờ nên thêm ngoại lệ cho một trang web chính hoặc trang web họp pháp nơi diễn ra giao dich tài chính - trong trường họp này, chứng chỉ không hợp lệ có thể là dấu hiệu cho thấy kết nối của bạn bị bên thứ ba xâm phạm.

Nếu trang web cho phép, bạn có thể bỏ qua cảnh báo để truy cập trang, thậm chí chứng chỉ của nó không được tin cậy theo mặc định:

  1. Trên trang cảnh báo, nhán chọn Nâng cao.
  2. Nhấn Thêm ngoại lệ…. Hộp thoại Thêm ngoại lệ bảo mật sẽ xuất hiện.
  3. Đọc thông báo miêu tả vấn đề về trang web. Bạn có thể chọn Xem…để kiểm tra kĩ hơn chứng chỉ không tin cậy
  4. Nhấn Xác nhận ngoại lệ bảo mật nếu bạn chắc chắn muốn tin trang web này
  1. Trên trang cảnh báo, nhấn Nâng cao.
  2. Nhấn Chấp nhận rủi ro và tiếp tục.
// Những người đã giúp viết bài trợ giúp này:DaoAn. Bạn cũng có thể giúp - tìm hiểu cách làm.

Bài viết này có hữu ích không? Vui lòng đợi...

Đóng góp cho Mozilla Support