安全警告码是什么意思?

当 Firefox 连接到一个安全的网站时(网址最开始为“https://”),它必须确认该网站出具的证书有效且使用足够高的加密强度,以充分保护您的隐私。如果无法验证,Firefox 会中止连接到这个网站,并向您显示错误信息页面:“你的连接不安全”警告:有风险

Fx52InsecureConnection Fx66Warning-SecurityRisk

请点击 高级 按钮来查看错误代码和其他错误信息。本文介绍一些常见的错误。

看到这些错误应该怎么办?

你可以:

  • 联系网站主人,并请他们修复证书。
  • 点击 返回(推荐) 或访问别的网站。
  • 如果是使用防病毒软件的企业网,那么请需求技术团队的支持。

在查看错误代码和相关错误信息之后,你可以点击 接受风险并继续 按钮来加载网站,此时风险自负。在你了解安全警告的技术原因之前,请不要继续访问网站。

对于无法验证证书的网站,你可能会有一个添加例外的选项。合法的公共网站 不应该 要求你对其证书添加例外——如果证书无效就可能代表该网页是钓鱼网站或者它会窃取你的信息。

MOZILLA_PKIX_ERROR _ADDITIONAL_POLICY_CONSTRAINT_FAILED

此错误代表网站的证书没有遵循 Mozilla CA 证书计划 中要求的安全政策。大多数浏览器,包括 Firefox,都不信任来自 GeoTrust、RapidSSL、Symantec、Thawte 和 VeriSign 的证书,因为它们过去都没有遵守证书机构的安全纪律。

网站主人应该和证书机构一起解决政策性问题。Mozilla CA 证书计划公布了一个 影响证书机构的政策活动 列表,其中包含了网站主人需要了解的一些细节。

更多信息,请参看 Mozilla 安全博客 不要信任 Symantec TLS 证书

SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE

该证书要到 日期 (...) 才生效

该错误代码也会同时显示系统当前的日期和时间。如果日期和时间有错误,那么请设置正确的系统时间(双击任务栏的时钟图标)来修复问题。更多详情,请参看支持文章 如何针对安全网站的时间相关错误进行故障排除

SEC_ERROR_EXPIRED_CERTIFICATE

该证书已在 日期(...)过期
该错误在网站的身份证书过期时发生。

该错误代码也会同时显示系统当前的日期和时间。如果日期和时间有错误,那么请设置正确的系统时间(双击任务栏的时钟图标)来修复问题。更多详情,请参看支持文章 如何针对安全网站的时间相关错误进行故障排除

SEC_ERROR_UNKNOWN_ISSUER

由于证书发布者未知,所以该证书不可信。
服务器可能没有发送适当的中间证书。
可能会需要倒入一个额外的根证书。

MOZILLA_PKIX_ERROR_MITM_DETECTED

由于证书发布者未知,所以该证书不可信。
服务器可能没有发送适当的中间证书。
可能会需要倒入一个额外的根证书。

MOZILLA_PKIX_ERROR_MITM_DETECTED 是 SEC_ERROR_UNKNOWN_ISSUER 错误码的一个特例,它发生在检测到 中间人攻击 时。

你可以使用了诸如 Avast、Bitdefender、ESET 或 Kaspersky 等安全软件并启用了 SSL 扫描。请试着禁用此功能。更多信息,请参考支持文章 如何针对安全网站的错误码“SEC_ERROR_UNKNOWN_ISSUER”进行故障排除

在使用受 Microsoft 家庭账号设置保护的 Windows 用户账号时,你也可能会在访问像 Google、Facebook、YouTube 等重要网站时看到这个错误。如果要关闭相应账号的相关设置,请参考 Microsoft 支持文章 如何关闭家庭功能?

ERROR_SELF_SIGNED_CERT

该证书由于是自签名证书而不可信。

自签名证书对窃听来说是安全的,但是它毫无数据接受方的信息。这在非公开的内部网很普通,所以你可以对这些网站忽略该警告。更多信息,请参看支持文章 如何针对安全网站的错误码“SEC_ERROR_UNKNOWN_ISSUER”进行故障排除

SSL_ERROR_BAD_CERT_DOMAIN

由于网站使用的证书并不是该网站的有效证书,所以 Firefox 认为网站不可信。通过该网站发送信息可能会有风险,因此你最好联系网站主人先修复问题。

SEC_ERROR_OCSP_INVALID_SIGNING_CERT

网站设置有误并且没有通过安全检查。如果你访问该网站,攻击者可能会窃取你的个人信息,比如秘密、电子邮件或信用卡详情。

该问题和网站相关,你这边对此无能为力。你可以通知网站管理员。

证书已损坏

如果你保存证书 cert9.db 的配置文件夹损坏,你也会看到错误代码。请删除该证书,Firefox会退出并生成新的证书:

注意:只有在试过其他方法之后再使用这一招。
  1. 要打开你的用户档案文件夹:

    点击菜单按钮 Fx57menu ,再点击 帮助 并选择 故障排除信息 帮助 菜单中, 选择 故障排除信息. 然后故障调试信息页会出现。

    • 应用程序概要 部分,点击 打开文件夹在 Finder 中显示打开目录 按钮。含有您的配置文件夹窗口将打开。你的配置文件夹将打开。
    注意:如果您无法打开或使用 Firefox,您也可尝试 在不打开 Firefox 的情况下找到您的用户配置文件 中的指导。

  2. 点击菜单按钮 New Fx Menu ,然后点击退出退出 Close 29

    点击 Firefox 菜单 Fx57Menu ,然后点击 退出 在屏幕顶部点击 Firefox 菜单,然后点击 退出 Firefox点击 Firefox 菜单 Fx57Menu ,然后点击 退出

  3. 点击文件 cert9.db
  4. 按下 command+Delete 按键。
  5. Restart Firefox.
注意:cert9.db 会在重启Firefox之后重新生成。这是正常的。

看到了这个错误提示,我该怎么办?

如果您偶然看到了“你的连接不安全”这个错误信息,建议您联系该网站的所有者,如果可能的话,告知他们这个问题。您也可以等待该网站自行修复这个问题。为了安全,强烈建议您点击 带我离开,或访问其他网站。除非您确实知道这个网站发生了什么技术性问题导致了识别错误,并且愿意承担极高的被窃听风险,请务必不要继续访问该网站。

技术信息

点击 高级 按钮可以查看更多信息,了解为何此连接不安全。部分常见错误如下:

证书不是来自可信方

证书不是来自可信方。

错误代码: MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED

该错误代码表示该网站没有遵从Mozilla的CA证书程序针对该网站的证书颁发机构。当该错误发生时,网站所有者应该需要和其证书颁发机构联系并解决这个问题。

Mozilla的CA证书程序会颁布即将出台的影响证书颁发机构的政策措施,该措施涉及可能对网站所有者有用的详细信息。 更多信息,请参看Mozilla安全博客帖,不要相信Symantec TLS证书

证书在还未生效

证书生效日期为 某日。而当前日期为 某日

错误代码:SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE

这个错误信息会显示您的系统上的当前日期和证书生效日期。如果您认为系统上的当前日期有误,您可以手动更正(双击任务栏上的时间图标)来修复这个问题。更多详情,请参阅支持文章 如何针对安全网站的时间相关错误进行故障排除

证书当前已过期

证书过期日期为 某日。而当前日期为 某日

错误代码:SEC_ERROR_EXPIRED_CERTIFICATE

这个错误发生在网站的证书已经过期的情况下。

这个错误信息会显示您的系统上的当前日期和证书生效日期。如果您认为系统上的当前日期有误,您可以手动更正(双击任务栏上的时间图标)来修复这个问题。更多详情,请参阅支持文章 如何针对安全网站的时间相关错误进行故障排除

该证书因为其颁发者证书未知而不被信任

该证书因为其颁发者证书未知而不被信任。
该服务器可能未发送相应的中间证书。
可能需要导入一个额外的根证书。

错误代码:SEC_ERROR_UNKNOWN_ISSUER
该证书因为其颁发者证书未知而不被信任。
该服务器可能未发送相应的中间证书。
可能需要导入一个额外的根证书。

错误代码:MOZILLA_PKIX_ERROR_MITM_DETECTED

中间人攻击被检测到时,MOZILLA_PKIX_ERROR_MITM_DETECTED是错误代码SEC_ERROR_UNKNOWN_ISSUER的一个特殊情况。

这个错误可能发生在您启用了您的安全软件(如 Avast、Bitdefender、ESET、卡巴斯基)的 SSL 扫描的情况下。请尝试禁用这个选项。如果想要详细了解,参见《如何针对安全网站的错误码“SEC_ERROR_UNKNOWN_ISSUER”进行故障排除》一文。

您在访问常用网站(如百度、Google、Facebook)时也可能看到这个错误信息,如果您正在用受的微软家庭功能保护的用户账户的话。如果您想为某个用户关闭这个设置,参见微软支持文章如何针对安全网站的错误码“SEC_ERROR_UNKNOWN_ISSUER”进行故障排除

该证书因为其自签名而不被信任

该证书因为其自签名而不被信任。

错误代码:ERROR_SELF_SIGNED_CERT

自签名的证书虽然可以保证您不被第三方窃听,但无法知晓数据的接收者是谁。这对处于内部局域网且无法在外网访问的网站来说很常见,您可以选择绕过警示。更多详情,请参看技术文章如何针对安全网站的错误码“SEC_ERROR_UNKNOWN_ISSUER”进行故障排除

此证书仅对 网站名 有效

example.com 使用了无效的安全证书。

该证书仅对下列域名有效: www.example.com, *.example.com

错误代码:SSL_ERROR_BAD_CERT_DOMAIN

这个错误表示此网站发送给您的身份信息其实属于另一个网站。虽然这可以保证您不被第三方窃听,但数据的接收者恐怕不是您所料想的。

这个情况常常发生在此证书其实属于同一个网站下的不同域名的情况下。例如,您可能访问了 https://example.com,但它附带的证书其实是颁发给 https://www.example.com 的。在这种情况下,如果您直接访问 https://www.example.com ,您就可以避免这个错误了。

证书存储文件损坏

当保存于配置文件夹的证书(cert8.dbcert9.db)损坏时,你也会看到错误信息。请关闭Firefox并删除这些文件,它们会被自动重新创建:

注意:这是你尝试过所有其他故作排除方法之后的最后一招,请慎用。
  1. 要打开你的用户档案文件夹:

    点击菜单按钮 Fx57menu ,再点击 帮助 并选择 故障排除信息 帮助 菜单中, 选择 故障排除信息. 然后故障调试信息页会出现。

    • 应用程序概要 部分,点击 打开文件夹在 Finder 中显示打开目录 按钮。含有您的配置文件夹窗口将打开。你的配置文件夹将打开。
    注意:如果您无法打开或使用 Firefox,您也可尝试 在不打开 Firefox 的情况下找到您的用户配置文件 中的指导。

  2. 点击菜单按钮 New Fx Menu ,然后点击退出退出 Close 29

    点击 Firefox 菜单 Fx57Menu ,然后点击 退出 在屏幕顶部点击 Firefox 菜单,然后点击 退出 Firefox点击 Firefox 菜单 Fx57Menu ,然后点击 退出

  3. 点击文件 cert8.dbcert9.db
  4. 按下command+Delete按键。
  5. 重启Firefox。
注意:cert8.dbcert9.db会在Firefox重启时重新创建。这是正常的。

绕过警示

注意:有些安全警告无法绕过。

您应该只在既确信网站是正确的,又相信连接没有问题的情况下这样做——即便您信任此网站,也可能有其他人对您的连接做手脚。 在只经过弱加密的网站上输入的数据同样很容易泄露。

要想绕过提示,请点击 高级

  • 在弱加密的网站上,Firefox 会显示一个选项让您能够加载这个使用过时安全技术的网站。
  • 在证书无效的网站上,Firefox 会显示一个选项能让您把它添加到排除项中。
合法的公众网站绝不会让您把它添加到排除项里——也就是说,证书无效表明这个网站很可能在欺骗您,并想盗窃您的信息。
// 这些人帮助撰写了这篇文章:YFdyh000, xcffl, f1m15, longxi, Vectorst, wxie 你也可以帮忙 - 来看看该怎么做

这篇文章对您有帮助吗? 请稍候...

成为 Mozilla 技术支持的志愿者