Když se Firefox připojuje k zabezpečené webové stránce (její URL začíná na HTTPS), musí ověřit, že certifikát předložený webovou stránkou je platný a že šifrování je dostatečně silné, aby náležitě chránilo vaše soukromí. Jestliže se toto ověřit nedá, Firefox ukončí spojení s webovou stránkou a zobrazí chybové hlášení s textem Varování: možné bezpečnostní riziko.
Kliknutím na tlačítko
zobrazíte kód chyby a další informace o chybě. V tomto článku jsou popsány ty často se vyskytující.Obsah
- 1 Co dělat, když se objeví tato chyba?
- 2 MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
- 3 SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
- 4 SEC_ERROR_EXPIRED_CERTIFICATE
- 5 SEC_ERROR_UNKNOWN_ISSUER
- 6 MOZILLA_PKIX_ERROR_MITM_DETECTED
- 7 ERROR_SELF_SIGNED_CERT
- 8 SSL_ERROR_BAD_CERT_DOMAIN
- 9 SEC_ERROR_OCSP_INVALID_SIGNING_CERT
- 10 Poškozené úložiště certifikátů
- 11 Jak toto varování obejít
Co dělat, když se objeví tato chyba?
Když se vám zobrazí chybové hlášení Varování: možné bezpečnostní riziko, můžete:
- kontaktovat vlastníka stránky a požádat ho, aby napravil svůj certifikát
- kliknout na nebo navštívit jiný web
- pokud jste v podnikové síti nebo používáte antivirový software, požádat o pomoc týmy podpory
Poté, co jste si prohlédli kód chyby a informace o chybě, můžete kliknout na tlačítko
a načíst stránku na vlastní nebezpečí. Tím se pro certifikát stránky přidá bezpečnostní výjimka.MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
Tato chyba značí, že certifikát stránky nevyhovuje bezpečnostním opatřením obsaženým v Certifikačním programu Mozilly. Většina prohlížečů, ne pouze Firefox, nedůvěřuje certifikátům, které vydali GeoTrust, RapidSSL, Symantec, Thawte a VeriSign, protože tyto certifikační autority v minulosti nedodržely bezpečnostní postupy.
Vlastníci serveru musí se svou certifikační autoritou zapracovat na nápravě problému s danými opatřeními. Další informace naleznete v příspěvku Distrust of Symantec TLS Certificates na blogu Mozilly.
SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
Certifikát bude platný až od (datum) (...)
Text o chybě také obsahuje vaše aktuální systémové datum a čas. V případě, že je údaj nesprávný, nastavte si systémové hodiny na dnešní datum a čas (dvojklikněte na ikonu hodin na hlavním panelu Windows). Podrobnější informace o této chybě naleznete v článku Jak na zabezpečených stránkách vyřešit chyby souvisící s časem.
SEC_ERROR_EXPIRED_CERTIFICATE
Doba platnosti certifikátu vypršela datum (...)
Tato chyba nastane, když doba platnosti certifikace identity webového serveru vypršela.
Text o chybě také obsahuje vaše aktuální systémové datum a čas. V případě, že je údaj nesprávný, nastavte si systémové hodiny na dnešní datum a čas (dvojklikněte na ikonu hodin na hlavním panelu Windows). Podrobnější informace o této chybě naleznete v článku Jak na zabezpečených stránkách vyřešit chyby souvisící s časem.
SEC_ERROR_UNKNOWN_ISSUER
Certifikát není důvěryhodný, protože jeho vydavatel je neznámý
Server patrně neposílá patřičné certifikáty mezilehlých CA.
Může být potřeba naimportovat dodatečný kořenový certifikát.
Více se o této chybě dozvíte v článku Jak řešit některé kódy chyb na zabezpečených stránkách.
MOZILLA_PKIX_ERROR_MITM_DETECTED
Certifikát není důvěryhodný, protože jeho vydavatel je neznámý.
Server patrně neposílá patřičné certifikáty mezilehlých CA.
Může být potřeba naimportovat dodatečný kořenový certifikát.
Kód chyby MOZILLA_PKIX_ERROR_MITM_DETECTED představuje zvláštní případ kódu chyby SEC_ERROR_UNKNOWN_ISSUER, kdy je zjištěn útok Man in the middle.
Je možné, že máte ve svém bezpečnostním softwaru, jako je např. Avast, Bitdefender, ESET nebo Kaspersky, povolenu kontrolu protokolu SSL (SSL scanning). Zkuste ji zakázat. Bližší informace naleznete v článku Jak řešit některé kódy chyb na zabezpečených stránkách.
Toto chybové hlášení také můžete vidět na větších webech jako jsou Google, Facebook, YouTube aj. v uživatelských účtech chráněných filtrem Zabezpečení rodiny. Jak toto nastavení vypnout pro konkrétního uživatele se dozvíte v článku nápovědy Microsoftu Jak vypnu funkce rodiny?.
ERROR_SELF_SIGNED_CERT
Certifikát není důvěryhodný, protože je podepsán sám sebou
Certifikáty, které jsou podepsány sebou samými, zabezpečují vaše data proti odposlouchávání, avšak neříkají nic o tom, kdo je příjemcem vašich dat. Takovéto certifikáty se běžně používají v intranetových webech, které nejsou veřejně přístupné a u takovýchto serverů je možné toto varování obejít. Bližší informace naleznete v článku Jak řešit některé kódy chyb na zabezpečených stránkách.
SSL_ERROR_BAD_CERT_DOMAIN
Firefox tomuto serveru nedůvěřuje, protože používá certifikát, který není pro daný konkrétní web platný. Informace odeslané na těchto stránkách by mohly být v ohrožení, proto nejlepší, co můžete udělat, je kontaktovat vlastníka serveru, aby problém napravil.
SEC_ERROR_OCSP_INVALID_SIGNING_CERT
Server není správně nakonfigurován a selhala bezpečnostní kontrola. Pokud server navštívíte, mohli by se útočníci pokusit zcizit vaše osobní údaje jako hesla, e-mailové adresy nebo údaje o platební kartě.
Problém je na straně serveru a vy pro jeho vyřešení nemůžete udělat nic. Můžete maximálně problém oznámit správci serveru.
Poškozené úložiště certifikátů
Příčinou pro obdržení hlášení o chybě certifikátu může být také poškozený soubor cert9.db, jenž uchovává vaše certifikáty. Zkuste ho smazat, když je Firefox zavřený, aby se obnovil:
Otevřete svou složku s profilem:
- Klikněte na tlačítko nabídky , zvolte a poté .V nabídce Otevře se panel Technické informace. klikněte na položku .
- V sekci Stručně o aplikaci klikněte na řádku Složka s profilem na tlačítko Otevře se okno se složkou vašeho profilu.Otevře se složka vašeho profilu. .
Poznámka: Pokud nemůžete spustit či použít Firefox, postupujte dle instrukcí v článku Nalezní profilu bez otevření Firefoxu.- Klikněte na tlačítko nabídky a zvolte .Klikněte na nabídku Firefoxu v horní části obrazovky a zvolte .Klikněte na tlačítko nabídky a zvolte .
- Klikněte na soubor s názvem cert9.db.
- Stiskněte klávesu command+Delete.
- Spusťte opět Firefox.
- Poznámka: Při spuštění Firefoxu bude soubor cert9.db opět vytvořen. Toto je normální chování.
Jak toto varování obejít
Toto varování byste měli obejít, jen když jste si jisti jak identitou serveru, tak integritou vašeho spojení – i když serveru důvěřujete, někdo by se mohl do vašeho spojení vměšovat. Data, která zadáte na stránce a odešlete přes slabě zašifrované spojení, mohou být rovněž zranitelná vůči odposlouchávání.
Chcete-li obejít toto varování, klikněte na
:- Na stránkách se slabým šifrováním se vám zobrazí možnost načíst stránku se zastaralým zabezpečením.
- Na stránkách, kde certifikát nelze ověřit, vám může být nabídnuta možnost přidat výjimku.