排除在安全性網站上 "SEC_ERROR_UNKNOW_ISSUER" 的錯誤代碼

當連線到一個應該使用安全連線的網站(網址以 "https://" 開頭)時,Firefox 必須檢驗網站憑證是否有效。如果憑證無法被驗證,Firefox 會中斷與網站的連線,並顯示「您的連線並不安全。

這篇文章解釋為何您會在網站遇到錯誤代碼 "SEC_ERROR_UNKNOW_ISSUER"、"MOZILLA_PKIX_ERROR_MITM_DETECTED"、"ERROR_SELF_SIGNED_CERT",以及排除錯誤的方式。

錯誤代碼是什麼意思?

在加密連線中,網站需要提供一個經由受信任的 數位憑證認證機構 驗證的憑證,以確保使用者是透過加密連線來連線到預期的目標。如果您看到 "您的連線並不安全" 的錯誤頁面,且當您按下 進階 後看到 "SEC_ERROR_UNKNOWN_ISSUER" 或 "MOZILLA_PKIX_ERROR_MITM_DETECTED" 的錯誤代碼,這表示憑證不是經由 Firefox 所知的數位憑證認證機構所驗證,因此預設不被信任。

Fx44 SEC_ERROR_UNKNOWN_ISSUER error

在多個安全連線的網站發生這個錯誤

如果您在多個不相關的 HTTPS 網站發生這個問題,這表示在您的系統或是網路上有人在攔截您的連線,並且置入不被 Firefox 信任的憑證。若 Firefox 偵測到連線被代理伺服器攔截,Firefox 就會顯示 "MOZILLA_PKIX_ERROR_MITM_DETECTED"。最常發生的情形是安全防護軟體掃描加密連線,或是惡意軟體竊聽並將合法網站的憑證置換為它的。

防毒軟體

一般來說,如果您的安全軟體包含掃描加密連線的功能,您可以試著重新安裝,會觸發軟體再次將憑證置於 Firefox 信任列表中。嘗試以下特定安全軟體的解決方案:

Avast

您可以在 Avast 安全軟體中停用攔截安全連線:

  1. 開啟您 Avast 應用程式的設定面板。
  2. 前往 選項 > 設定 > 元件 > 主動防設 ,點擊 網頁防護 旁的 自訂
  3. 取消勾選 啟用 HTTPS 掃描 設定然後點擊 OK 儲存變更。

更多細節請參考 Avast 的 說明文件。更多有關這個功能的資訊請參閱:Avast 部落格

Bitdefender

您可以在 Bitdefender 安全軟體中停用攔截安全連線:

  1. 開啟您 Bitdefender 應用程式的設定面板。
  2. 2016 版的 Bitdefender 安全軟體,請點擊 模組
    2015 版的 Bitdefender,請點擊 防護
  3. 點擊 Web 防護.
  4. 關閉 掃描 SSL 設定。

Bitdefender 相關產品,請參閱:Bitdefender 支援中心

Bullguard

您可以在 Bullguard 安全軟體中停用攔截特定主要網站如 Google、Yahoo 和 Facebook 的安全連線:

  1. 開啟您 Bullguard 應用程式的設定面板。
  2. 點擊 防毒設定 > 網頁瀏覽
  3. 取消勾選顯示錯誤訊息網站的 顯示安全結果 選項。

ESET

您可以停用或重新啟用 ESET 安全軟體中 過濾 SSL/TLS 協定 或依照 ESET 支援文章 中所描述停用攔截安全連線。

Kaspersky

您可以在 Kaspersky 安全軟體中停用攔截安全連線:

  1. 開啟您 Kaspersky 應用程式的設定面板。
  2. 點擊左下方的 設定
  3. 點擊 其他 然後點擊 網路
  4. 若您使用 2016 版的 Kaspersky:在 掃描加密連線 區塊,勾選 不要掃描加密連線 選項並確認變更。
    或者,您可以點擊 進階設定 來重新安裝 Kaspersky 的憑證。在開啟的對話框中點擊 安裝憑證… 接著依照螢幕上的指示進行。
    若您使用 2015 版的 Kaspersky:取消勾選 掃描加密連線 選項。
  5. 最後,請重新開啟您的作業系統讓變動生效。

    Kaspersky 先前版本 的訂購使用者有權利升級到最新版,您可以在 卡巴斯基產品更新頁面 下載及安裝。接著依照上述的步驟進行。

Windows 帳戶中的家庭安全設定

在微軟 Windows 中,帳戶是被家庭安全設定所保護。熱門網站如 Google、Facebook 和 Youtube 的安全連線可能會被攔截,為了過濾和紀錄搜尋活動,這些網站的憑證會被置換為微軟所驗證的。

請參閱 微軟常見問題網頁 以了解如何關閉帳戶的家庭功能。若您想為受影響的帳戶手動安裝缺少的憑證,您可以參閱 微軟支援文章

在企業網路中監控/過濾

有些在企業環境中的流量監控/過濾產品可能透過替換網站的憑證為企業的憑證,以達到攔截加密連線,此時可能會觸發安全性 HTTPS 網站的錯誤。

如果您懷疑是這種情形,請連絡您的 IT 部門以確保 Firefox 擁有正確的設定可以在這樣的環境中運行,像是先在 Firefox 信任列表中安裝必要的憑證。Mozilla 的 wiki 頁面 會介紹 IT 部門處理的方式。


惡意軟體

某些形態的惡意軟體攔截加密網路流量可能造成這個錯誤訊息 - 請參閱 我的 Firefox 有問題,是中毒了嗎? 這篇文章了解如何處理惡意軟體的問題。

錯誤只發生在某一個特定網站

如果您只在某一個特定網站發生這個問題,這種錯誤通常表示網站伺服器沒有正確的被設定。無論如何,如果您在合法的主要網站像是 Google、Facebook 或是金融交易網站上看到這個錯誤,你應該依照 上述步驟 繼續。

由賽門鐵克的從屬機構發行的憑證

越來越多由賽門鐵克發行的憑證發生問題,包含 Mozilla 在內的許多瀏覽器廠商也逐漸在自家產品中取消承認這些憑證。Firefox 60 也將首先停止信任賽門鐵克(及其子品牌 GeoTrust、 RapidSSL、Thawte、VeriSign)於 2016-06-01 前所發行的憑證。Firefox 63 後,此項措施將擴及所有由賽門鐵克發行的憑證。

雖然 MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED 是主要的錯誤訊息,但在某些網站上您可能會看到 SEC_ERROR_UNKNOWN_ISSUER。若遇到這兩種情況,您可以跟網站管理員回報這個問題。我們強烈建議受影響的網站的營運商立即更換這些憑證。

更多訊息,請參考 Mozilla 的部落格文章 Distrust of Symantec TLS Certificates

缺少中繼憑證

在缺少中繼憑證的網站,在您點擊「您的連線並不安全」錯誤頁面上的 進階,您會看到以下的錯誤描述:

憑證不受信任因為發行者憑證未知。
伺服器可能沒有送出合適的中繼憑證。
需要匯入額外的根憑證。

網站的憑證並非由受信任的數位憑證認證機構所驗證,也沒有提供完整的發行者鍊(也稱為缺少「中繼憑證」)。
你可以使用第三方工具,像是 SSL Labs 的測試頁面,輸入網址來測試網站是否正確設定。如果回傳結果「憑證鍊問題:不完全」,則表示缺少合適的中繼憑證。 您應該連絡網站擁有者,提醒他們您在存取網站時有問題。

自我簽署憑證

在使用自我簽署憑證的網站,您會看到 ERROR_SELF_SIGNED_CERT 的錯誤訊息,且在您點擊「您的連線並不安全」錯誤頁面上的 進階,您會看到以下的錯誤描述:

憑證不受信任因為是自我簽署憑證

不是透過認可的數位憑證認證機構所驗證的自我簽署憑證預設是不受信任的。自我簽署憑證能確保您的資料不被竊聽,但不能確保收到資料的人是誰。通常在無法公開的內部網站會遇到這個問題,您可以對這類網站免去這項警告。

略過這項警告

警告: 您永遠不該為合法的主要網站或金融交易網站增加憑證例外 - 此時無效的憑證可能表示您的連線正受到第三方的危害。

如果允許,您可以增加例外以造訪網站,雖然它的憑證預設是不受信任的:

  1. 在警告網頁,點擊 進階
  2. 點擊 增加例外…。將顯示 增加安全例外 對話框。
  3. 閱讀敘述網站問題的文字。您可以點擊 檢視… 來更精確的檢視此不受信任的憑證。
  4. 如果您確認您想信任些網站,點擊 確認安全例外
//這些人們幫忙撰寫了這篇文章:Peter Chen, Bor, EricTsai您也可以幫忙 - 看看要怎麼作

這篇文章有幫助嗎? 請稍候...

成為 Mozilla 技術支援站的志工