排除在安全性網站上 "SEC_ERROR_UNKNOW_ISSUER" 的錯誤代碼

當連線到一個應該使用安全連線的網站(網址以 "https://" 開頭)時,Firefox 必須檢驗網站憑證是否有效。如果憑證無法被驗證,Firefox 會中斷與網站的連線,並顯示「您的連線並不安全警告:本網站可能有安全性風險」。

這篇文章解釋為何您會在網站遇到錯誤代碼 SEC_ERROR_UNKNOW_ISSUER、MOZILLA_PKIX_ERROR_MITM_DETECTED、ERROR_SELF_SIGNED_CERT,以及排除錯誤的方式。

錯誤代碼是什麼意思?

在加密連線中,網站必須提供一個經由受信任的數位憑證認證機構驗證的憑證,以確保使用者是透過加密連線來連線到預期的目標。如果您在」您的連線並不安全警告:本網站可能有安全性風險」的錯誤頁面點下 進階 後看到 "SEC_ERROR_UNKNOWN_ISSUER" 或 "MOZILLA_PKIX_ERROR_MITM_DETECTED" 的錯誤代碼,這表示網站提供的憑證不是經由 Firefox 所知的數位憑證認證機構所驗證,因此預設不被信任。

Fx44 SEC_ERROR_UNKNOWN_ISSUER error Fx66WarningSEC_ERROR_UNKNOWN_ISSUER

在多個安全連線的網站發生這個錯誤

如果您在多個不相關的 HTTPS 網站發生這個問題,這表示在您的系統或是網路上有人在攔截您的連線,並且置入不被 Firefox 信任的憑證。最常發生的情形是安全防護軟體正在掃描加密連線,或是惡意軟體竊聽並將合法網站的憑證偷換成它們的假憑證。另外,若 Firefox 偵測到連線被代理伺服器攔截,Firefox 就會顯示錯誤代碼 MOZILLA_PKIX_ERROR_MITM_DETECTED。

防毒軟體

第三方防毒軟體可能會干擾 Firefox 的安全連線。我們建議您可以解除安裝這些第三方軟體並使用微軟提供給 Windows 的防毒軟體。

如果您不想移除您的第三方軟體,您可以試著重新安裝,會觸發軟體再次將憑證置於 Firefox 信任列表中。

以下是您可以嘗試的替代方案:

Avast/AVG

您可以在 Avast/AVG 安全軟體中停用攔截安全連線:

  1. 開啟您 Avast/AVG 應用程式的設定面板。
  2. 前往 選項 然後點選 設定 > 保護 > 核心保護
  3. 往下捲到設定段,點一下 網頁防護
  4. 取消勾選 啟用 HTTPS 掃描 設定然後按一下 OK 以儲存變更。
    在舊版中,操作順序為 選項 > 設定 > 元件 > 主動防設 ,點擊 網頁防護 旁的 自訂

更多細節請參考 Avast 的 說明文件。更多有關這個功能的資訊請參閱:Avast 部落格

Bitdefender

您可以在 Bitdefender 安全軟體中停用攔截安全連線:

  1. 開啟您 Bitdefender 應用程式的設定面板。
  2. 防護 選單中的 線上威脅預妨 段點一下 設定
  3. 取消勾選 掃瞄加密網路
    在舊版中,操作順序為 模組 > Web 防護,然後關閉 掃描 SSL

免費版的 Bitdefender 可能不會讓您改這些設定,如果您還是無法開啟加密網頁的話,您可以修復或移除程式

Bitdefender 相關產品,請參閱:Bitdefender 支援中心

Bullguard

您可以在 Bullguard 安全軟體中停用攔截特定主要網站如 Google、Yahoo 和 Facebook 的安全連線:

  1. 開啟您 Bullguard 應用程式的設定面板。
  2. 點擊 設定 然後在視窗右上方啟用 進階 模式。
  3. 跳到 防毒軟體 > 安全瀏覽
  4. 取消勾選顯示錯誤訊息網站的 顯示安全結果 選項。

ESET

您可以停用或重新啟用 ESET 安全軟體中 過濾 SSL/TLS 協定 或依照 ESET 支援文章 中所描述停用攔截安全連線。

Kaspersky

Kaspersky 受影響的用戶應該將你們的軟體升級到包含解決方案的最新版(如 Kaspersky 2019 後版本)。Kaspersky 的下載頁面對於目前訂閱戶有提供免費升級的連結。

或者,您也可以在 Kaspersky 安全軟體中停用攔截安全連線:

  1. 開啟您 Kaspersky 應用程式的設定面板。
  2. 點擊左下方的 設定
  3. 點擊 其他 然後點擊 網路
  4. 掃描加密連線 區塊,勾選 不要掃描加密連線 選項並確認變更。
  5. 最後,請重新開啟您的作業系統讓變動生效。

Windows 帳戶中的家庭安全設定

在微軟 Windows 中,帳戶是被家庭安全設定所保護。熱門網站如 Google、Facebook 和 Youtube 的安全連線可能會被攔截,為了過濾和紀錄搜尋活動,這些網站的憑證會被置換為微軟所驗證的。

請參閱 微軟常見問題網頁 以了解如何關閉帳戶的家庭功能。若您想為受影響的帳戶手動安裝缺少的憑證,您可以參閱 微軟的支援文章

在企業網路中監控/過濾

有些在企業環境中的流量監控/過濾產品可能透過替換網站的憑證為企業的憑證,以達到攔截加密連線,此時可能會觸發安全性 HTTPS 網站的錯誤。

如果您懷疑是這種情形,請連絡您的 IT 部門以確保 Firefox 擁有正確的設定可以在這樣的環境中運行,像是先在 Firefox 信任列表中安裝必要的憑證。Mozilla 的 wiki 頁面 會介紹 IT 部門處理的方式。

惡意軟體

某些形態的惡意軟體攔截加密網路流量可能造成這個錯誤訊息 - 請參閱 我的 Firefox 有問題,是中毒了嗎? 這篇文章了解如何處理惡意軟體的問題。

錯誤只發生在某一個特定網站

如果您只在某一個特定網站發生這個問題,這種錯誤通常表示網站伺服器沒有正確的被設定。無論如何,如果您在合法的主要網站像是 Google、Facebook 或是金融交易網站上看到這個錯誤,你應該依照 上述步驟 繼續。

由賽門鐵克的從屬機構發行的憑證

越來越多由賽門鐵克發行的憑證發生問題,包含 Mozilla 在內的許多瀏覽器廠商也逐漸在自家產品中取消承認這些憑證。Firefox 60 也將首先停止信任賽門鐵克(及其子品牌 GeoTrust、 RapidSSL、Thawte、VeriSign)於 2016-06-01 前所發行的憑證。Firefox 63 後,此項措施將擴及所有由賽門鐵克發行的憑證。

雖然 MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED 是主要的錯誤訊息,但在某些網站上您可能會看到 SEC_ERROR_UNKNOWN_ISSUER。若遇到這兩種情況,您可以跟網站管理員回報這個問題。我們強烈建議受影響的網站的營運商立即更換這些憑證。

更多訊息,請參考 Mozilla 的部落格文章 Distrust of Symantec TLS Certificates

缺少中繼憑證

在缺少中繼憑證的網站,在您點擊「您的連線並不安全」錯誤頁面上的 進階,您會看到以下的錯誤描述:

憑證不受信任因為發行者憑證未知。
伺服器可能沒有送出合適的中繼憑證。
需要匯入額外的根憑證。

網站的憑證並非由受信任的數位憑證認證機構所驗證,也沒有提供完整的發行者鍊(也稱為缺少「中繼憑證」)。
你可以使用第三方工具,像是 SSL Labs 的測試頁面,輸入網址來測試網站是否正確設定。如果回傳結果「憑證鍊問題:不完全」,則表示缺少合適的中繼憑證。 您應該連絡網站擁有者,提醒他們您在存取網站時有問題。

自我簽署憑證

在使用自我簽署憑證的網站,您會看到 ERROR_SELF_SIGNED_CERT 的錯誤訊息,且在您點擊「您的連線並不安全」錯誤頁面上的 進階,您會看到以下的錯誤描述:

憑證不受信任因為是自我簽署憑證

不是透過認可的數位憑證認證機構所驗證的自我簽署憑證預設是不受信任的。自我簽署憑證能確保您的資料不被竊聽,但不能確保收到資料的人是誰。通常在無法公開的內部網站會遇到這個問題,您可以對這類網站免去這項警告。

略過這項警告

警告: 您永遠不該為合法的主要網站或金融交易網站增加憑證例外 - 此時無效的憑證可能表示您的連線正受到第三方的危害。

如果允許,您可以忽略這些警告來開啟網站,即使它的憑證預設是不受信任的:

  1. 在警告頁面,點擊 進階
  2. 點擊 增加例外…。將顯示 增加安全例外 對話框。
  3. 閱讀敘述網站問題的文字。您可以點擊 檢視… 來更精確的檢視此不受信任的憑證。
  1. 在警告頁面,點擊 進階
  2. 點一下 接受風險並繼續
//這些人們幫忙撰寫了這篇文章:Peter Chen, Bor, EricTsai您也可以幫忙 - 看看要怎麼作

這篇文章有幫助嗎? 請稍候...

成為 Mozilla 技術支援站的志工