Compare Revisions

讀取, 連結, 禁止, 封鎖

了解出現在 HTTPS 網頁的 SEC_ERROR_UNKNOWN_ISSUER、MOZILLA_PKIX_ERROR_MITM_DETECTED、ERROR_SELF_SIGNED_CERT 錯誤訊息及其解決方式。

當連線到一個使用安全連線的網站（網址以 "http'''s'''://" 開頭）時，Firefox 必須檢驗網站憑證是否有效。如果憑證無法被驗證，Firefox 會中斷與網站的連線，並顯示「警告：本網站可能有安全性風險」。您可以點選 {button Advanced} 按鈕來查看 Firefox 遇到了哪些錯誤 這篇文章解釋為何您會在網站遇到錯誤代碼 SEC_ERROR_UNKNOW_ISSUER、MOZILLA_PKIX_ERROR_MITM_DETECTED、ERROR_SELF_SIGNED_CERT，以及排除錯誤的方式。 {note} 對於「警告：本網站可能有安全性風險」的錯誤代碼內容，請參見 [[What does "Your connection is not secure" mean?]] 一文，對於「安全連線失敗」或是「未連線: 潛在的安全性問題」的錯誤代碼內容，請參見 [[Secure connection failed and Firefox did not connect]]{/note} __TOC__ = 錯誤代碼是什麼意思？ = 在加密連線中，網站必須提供一個經由受信任的[https://zh.wikipedia.org/wiki/证书颁发机构 數位憑證認證機構]驗證的憑證，以確保使用者是透過加密連線來連線到預期的目標。如果您在「警告：本網站可能有安全性風險」的錯誤頁面點下 {button 進階} 後看到 SEC_ERROR_UNKNOWN_ISSUER 或 MOZILLA_PKIX_ERROR_MITM_DETECTED 的錯誤代碼，這表示網站提供的憑證不是經由 Firefox 所知的數位憑證認證機構所驗證，因此預設不被信任。 [[Image:Fx66WarningSEC_ERROR_UNKNOWN_ISSUER]] = 在多個安全連線的網站發生這個錯誤 = 如果您在多個不相關的 HTTPS 網站發生這個問題，這表示在您的系統或是網路上有人在攔截您的連線，並且置入不被 Firefox 信任的憑證。最常發生的情形是安全防護軟體正在掃描加密連線，或是惡意軟體竊聽並將合法網站的憑證偷換成它們的假憑證。另外，若 Firefox 偵測到連線被代理伺服器攔截，Firefox 就會顯示錯誤代碼 MOZILLA_PKIX_ERROR_MITM_DETECTED。 == 防毒軟體 == 第三方防毒軟體可能會干擾 Firefox 的安全連線。{for winxp,win7,mac,linux} 您可以試著重新安裝，會觸發軟體再次將憑證置於 Firefox 信任列表中。{/for} {for win8, win10} 我們建議您可以解除安裝這些第三方軟體並使用微軟提供給 Windows 的防毒軟體。 * Windows 8、Windows 10 -（[https://www.microsoft.com/windows/comprehensive-security 內建 Windows Defender]） 如果您不想移除您的第三方軟體，您可以試著重新安裝，會觸發軟體再次將憑證置於 Firefox 信任列表中。{/for} 以下是您可以嘗試的替代方案： === Avast/AVG === 您可以在 Avast/AVG 安全軟體中停用攔截安全連線： # 開啟您 Avast/AVG 應用程式的設定面板。 # 前往 {menu 選項} 然後點選 {menu 設定} > {menu 保護} > {menu 核心保護}。 # 往下捲到設定段，點一下 {menu 網頁防護}。 # 取消勾選 {menu 啟用 HTTPS 掃描} 設定然後按一下 {button OK} 以儲存變更。 #;{note}在舊版中，操作順序為 {menu 選項} > {menu 設定} > {menu 元件} > {menu 主動防設} ，點擊 {menu 網頁防護} 旁的 {button 自訂}。{/note} 更多細節請參考 Avast 的 [https://support.avast.com/en-us/article/189/ 說明文件]。更多有關這個功能的資訊請參閱：[https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ Avast 部落格]。 === Bitdefender === 您可以在 Bitdefender 安全軟體中停用攔截安全連線： # 開啟您 Bitdefender 應用程式的設定面板。 # 在 {menu 防護} 選單中的 {menu 線上威脅預妨} 段點一下 {menu 設定}。 # 取消勾選 {menu 掃瞄加密網路}。 #;{note}在舊版中，操作順序為 {menu 模組} > {menu Web 防護}，然後關閉 {pref 掃描 SSL}{/note} 免費版的 Bitdefender 可能不會讓您改這些設定，如果您還是無法開啟加密網頁的話，您可以[https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html 修復或移除程式]。 Bitdefender 相關產品，請參閱：[http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html Bitdefender 支援中心]。 === Bullguard === 您可以在 Bullguard 安全軟體中停用攔截特定主要網站如 Google、Yahoo 和 Facebook 的安全連線： # 開啟您 Bullguard 應用程式的設定面板。 # 點擊 {menu 設定} 然後在視窗右上方啟用 {pref 進階} 模式。 # 跳到 {menu 防毒軟體} > {menu 安全瀏覽}。 # 取消勾選顯示錯誤訊息網站的 {menu 顯示安全結果} 選項。 === ESET === 您可以停用或重新啟用 ESET 安全軟體中 {pref 過濾 SSL/TLS 協定} 或依照 [http://support.eset.com/kb3126/ ESET 支援文章] 中所描述停用攔截安全連線。 === Kaspersky === Kaspersky 受影響的用戶應該將你們的軟體升級到包含解決方案的最新版（如 Kaspersky 2019 後版本）。[https://www.kaspersky.com/downloads Kaspersky 的下載頁面]對於目前訂閱戶有提供免費升級的連結。 或者，您也可以在 Kaspersky 安全軟體中停用攔截安全連線： # 開啟您 Kaspersky 應用程式的設定面板。 # 點擊左下方的 {menu 設定}。 # 點擊 {menu 其他} 然後點擊 {menu 網路}。 # 在 {menu 掃描加密連線} 區塊，勾選 {pref 不要掃描加密連線} 選項並確認變更。 # 最後，請重新開啟您的作業系統讓變動生效。 {for win8} == Windows 帳戶中的家庭安全設定 == 在微軟 Windows 中，帳戶是被家庭安全設定所保護。熱門網站如 Google、Facebook 和 Youtube 的安全連線可能會被攔截，為了過濾和紀錄搜尋活動，這些網站的憑證會被置換為微軟所驗證的。 請參閱 [http://windows.microsoft.com/en-us/windows/family-features-remove-uninstall-faq 微軟常見問題網頁] 以了解如何關閉帳戶的家庭功能。若您想為受影響的帳戶手動安裝缺少的憑證，您可以參閱 [https://support.microsoft.com/en-us/kb/2965142#bookmark-2 微軟的支援文章]。 {/for} == 在企業網路中監控/過濾 == 有些在企業環境中的流量監控/過濾產品可能透過替換網站的憑證為企業的憑證，以達到攔截加密連線，此時可能會觸發安全性 HTTPS 網站的錯誤。 如果您懷疑是這種情形，請連絡您的 IT 部門以確保 Firefox 擁有正確的設定可以在這樣的環境中運行，像是先在 Firefox 信任列表中安裝必要的憑證。Mozilla 的 [https://wiki.mozilla.org/CA:AddRootToFirefox wiki 頁面] 會介紹 IT 部門處理的方式。 == 惡意軟體 == 某些形態的惡意軟體攔截加密網路流量可能造成這個錯誤訊息 - 請參閱 [[Troubleshoot Firefox issues caused by malware]] 這篇文章了解如何處理惡意軟體的問題。 = 錯誤只發生在某一個特定網站 = 如果您只在某一個特定網站發生這個問題，這種錯誤通常表示網站伺服器沒有正確的被設定。無論如何，如果您在合法的主要網站像是 Google、Facebook 或是金融交易網站上看到這個錯誤，你應該依照 <!--note for localisers: adapt this link, it should point to the "The error occurs on multiple secure sites" section-->[[#w_uecoaogoeeaciooeiheookeaaoaougec|上述步驟]] 繼續。 == 由賽門鐵克的從屬機構發行的憑證 == <!--載入緩慢？ 無法載入？ 請參閲 https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> 越來越多由賽門鐵克發行的憑證發生問題，包含 Mozilla 在內的許多瀏覽器廠商也逐漸在自家產品中取消承認這些憑證。目前 Firefox 已停止信任賽門鐵克及其子品牌 GeoTrust、 RapidSSL、Thawte、VeriSign 所發行的憑證。<!--Firefox 60 將率先已停止信任賽門鐵克（及其子品牌 GeoTrust、 RapidSSL、Thawte、VeriSign）於 2016-06-01 前所發行的憑證。Firefox 63 後，此項措施將擴及所有由賽門鐵克發行的憑證。-->更多細節請參考 [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ 這篇 Mozilla 部落格文章]。 雖然 MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED 是主要的錯誤訊息，但在某些網站上您可能會看到 SEC_ERROR_UNKNOWN_ISSUER。<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 -->若遇到這兩種情況，您可以跟網站管理員回報這個問題。 我們強烈建議受影響的網站的營運商立即更換這些憑證。若需要更多協助，請查看 [https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates 這篇 DigiCert 發佈的文章] 以及 [https://www.digicert.com/tools DigiCert 工具]。 == 缺少中繼憑證 == 在缺少中繼憑證的網站，在您點擊「您的連線並不安全」錯誤頁面上的 {button 進階}，您會看到以下的錯誤描述： {note}憑證不受信任因為發行者憑證未知。<br>伺服器可能沒有送出合適的中繼憑證。<br>需要匯入額外的根憑證。{/note} 網站的憑證並非由受信任的數位憑證認證機構所驗證，也沒有提供完整的發行者鍊（也稱為缺少「中繼憑證」）。 <br>你可以使用第三方工具，像是 [https://www.ssllabs.com/ssltest SSL Labs 的測試頁面]，輸入網址來測試網站是否正確設定。如果回傳結果「憑證鍊問題：不完全」，則表示缺少合適的中繼憑證。 您應該連絡網站擁有者，提醒他們您在存取網站時有問題。 == 自我簽署憑證 == 在使用自我簽署憑證的網站，您會看到 ERROR_SELF_SIGNED_CERT 的錯誤訊息，且在您點擊「您的連線並不安全」錯誤頁面上的 {button 進階}，您會看到以下的錯誤描述： {note}憑證不受信任因為是自我簽署憑證{/note} 不是透過認可的數位憑證認證機構所驗證的自我簽署憑證預設是不受信任的。自我簽署憑證能確保您的資料不被竊聽，但不能確保收到資料的人是誰。通常在無法公開的內部網站會遇到這個問題，您可以對這類網站免去這項警告。 == 略過這項警告 == {warning}'''警告：''' 您永遠不該為合法的主要網站或金融交易網站增加憑證例外 - 此時無效的憑證可能表示您的連線正受到第三方的危害。{/warning} 如果允許，您可以忽略這些警告來開啟網站，即使它的憑證預設是不受信任的： # 在警告頁面，點擊 {button 進階}。 # 點一下 {button 接受風險並繼續}。