สำหรับเว็บไซต์ที่ควรจะปลอดภัย (URL ขึ้นต้นด้วย "https://") นั้น Firefox จะต้องตรวจสอบว่าใบรับรองที่เว็บไซต์เสนอมานั้นถูกต้อง หากไม่สามารถตรวจสอบใบรับรองได้ Firefox จะหยุดเชื่อมต่อไปยังเว็บไซต์และแสดงหน้าข้อผิดพลาด "คำเตือน: ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นข้างหน้า" แทน ซึ่งคุณสามารถดูข้อผิดพลาดเจาะจงที่ Firefox พบได้ด้วยการคลิกปุ่ม ขั้นสูง

บทความนี้จะอธิบายถึงสาเหตุที่คุณอาจเห็นรหัสข้อผิดพลาด SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED หรือ ERROR_SELF_SIGNED_CERT บนหน้าข้อผิดพลาดและวิธีแก้ไขปัญหาดังกล่าว

รหัสข้อผิดพลาดนี้หมายความว่าอย่างไร?

ระหว่างการเชื่อมต่อปลอดภัย เว็บไซต์จะต้องจัดเตรียมใบรับรองที่ออกโดยผู้ออกใบรับรองเพื่อให้แน่ใจว่าผู้ใช้จะถูกเชื่อมต่อไปยังเป้าหมายตามที่ตั้งไว้และการเชื่อมต่อจะถูกเข้ารหัส หากคุณคลิกที่ปุ่ม ขั้นสูง บนหน้าข้อผิดพลาด "คำเตือน: ความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นข้างหน้า" แล้วเห็นรหัสข้อผิดพลาด SEC_ERROR_UNKNOWN_ISSUER หรือ MOZILLA_PKIX_ERROR_MITM_DETECTED แสดงว่าใบรับรองที่จัดเตรียมมาให้นั้นถูกออกโดยผู้ออกใบรับรองที่ Firefox ไม่รู้จัก จึงไม่สามารถเชื่อถือได้โดยค่าเริ่มต้น

ข้อผิดพลาดเกิดขึ้นบนไซต์ที่ปลอดภัยหลายไซต์

หากคุณพบปัญหานี้บนไซต์ HTTPS ที่ไม่เกี่ยวข้องหลายไซต์ แสดงว่ามีบางอย่างบนระบบหรือเครือข่ายของคุณสกัดกั้นการเชื่อมต่อและใส่ใบรับรองที่ Firefox ไม่เชื่อถือ สาเหตุที่พบบ่อยสุดมักได้แก่ซอฟต์แวร์ความปลอดภัยสแกนการเชื่อมต่อที่เข้ารหัส หรือมีมัลแวร์แอบดักฟังและแทนที่ใบรับรองเว็บไซต์ที่ถูกต้องด้วยใบรับรองที่มากับมัลแวร์ โดยเฉพาะรหัสข้อผิดพลาด MOZILLA_PKIX_ERROR_MITM_DETECTED ซึ่งบ่งบอกว่า Firefox ตรวจพบการสกัดกั้นการเชื่อมต่อ

ผลิตภัณฑ์ป้องกันไวรัส

ซอฟต์แวร์ป้องกันไวรัสจากบุคคลที่สามอาจขัดจังหวะการเชื่อมต่อปลอดภัยของ Firefox ได้ ซึ่งคุณสามารถลองติดตั้งซอฟต์แวร์ดังกล่าวใหม่ได้ ซึ่งอาจกระตุ้นให้ซอฟต์แวร์นำใบรับรองของซอฟต์แวร์ไปวางไว้ในที่เก็บที่เชื่อถือได้ของ Firefox อีกครั้ง

คุณสามารถลองแก้ไขปัญหาด้วยวิธีอื่นๆ ต่อไปนี้ได้:

Avast/AVG

ในผลิตภัณฑ์ความปลอดภัย Avast หรือ AVG คุณสามารถปิดใช้งานการสกัดกั้นการเชื่อมต่อปลอดภัยได้ด้วยวิธีต่อไปนี้:

1. เปิดแดชบอร์ดของแอปพลิเคชัน Avast หรือ AVG
2. ไปที่ เมนู แล้วคลิกที่ ตั้งค่า > การปกป้อง > ระบบป้องกันหลัก
3. เลื่อนลงไปที่ส่วน กำหนดการตั้งค่าระบบป้องกัน แล้วคลิกที่ ระบบป้องกันเว็บ
4. เอาเครื่องหมายหน้า เปิดใช้งานการสแกน HTTPS ออก แล้วยืนยันการเปลี่ยนแปลงนี้ด้วยการคลิก ตกลง

   ในรุ่นเก่าของผลิตภัณฑ์ คุณจะพบตัวเลือกที่สอดคล้องกันเมื่อคุณไปที่ เมนู > ตั้งค่า > คอมโพเนนต์ แล้วคลิก ปรับแต่ง ถัดจาก ระบบป้องกันเว็บ

ดูที่บทความช่วยเหลือของ Avast Managing HTTPS scanning in Web Shield in Avast Antivirus สำหรับรายละเอียด ข้อมูลเพิ่มเติมเกี่ยวกับคุณลักษณะนี้มีอยู่บน Avast Blog นี้

Bitdefender

ในผลิตภัณฑ์ความปลอดภัย Bitdefender คุณสามารถปิดใช้งานการสกัดกั้นการเชื่อมต่อปลอดภัยได้ด้วยวิธีต่อไปนี้:

1. เปิดแดชบอร์ดของแอปพลิเคชัน Bitdefender
2. ไปที่ Protection แล้วคลิกที่ Settings ในส่วน Online Threat Prevention
3. ปิดใช้การตั้งค่า Encrypted Web Scan

   ในรุ่นเก่าของผลิตภัณฑ์ คุณสามารถพบตัวเลือกที่สอดคล้องกันชื่อ Scan SSL ได้เมื่อคุณไปที่ Modules > Web Protection

ใน Bitdefender Antivirus Free คุณไม่สามารถควบคุมการตั้งค่านี้ได้ คุณสามารถลองซ่อมแซมหรือลบโปรแกรมออกแทนได้เมื่อคุณมีปัญหาในการเข้าถึงเว็บไซต์ที่ปลอดภัย

สำหรับผลิตภัณฑ์ Bitdefender สำหรับบริษัท โปรดดูที่หน้า Bitdefender Support Center นี้

Bullguard

ในผลิตภัณฑ์ความปลอดภัย Bullguard คุณสามารถปิดใช้งานการสกัดกั้นการเชื่อมต่อปลอดภัยบนเว็บไซต์หลักๆ อย่างเช่น Google, Yahoo และ Facebook ได้ด้วยวิธีต่อไปนี้:

1. เปิดแดชบอร์ดของแอปพลิเคชัน Bullguard
2. คลิกที่ Settings แล้วเปิดใช้งานมุมมอง Advanced บริเวณมุมขวาบนของแผง
3. ไปที่ Antivirus > Safe browsing
4. เอาเครื่องหมายหน้าตัวเลือก Show safe results ออกสำหรับเว็บไซต์ที่แสดงข้อความระบุข้อผิดพลาด

ESET

ในผลิตภัณฑ์ความปลอดภัย ESET คุณสามารถลองปิดแล้วเปิดใช้งาน การกรองโปรโตคอล SSL/TLS ใหม่ตามที่อธิบายไว้ในบทความช่วยเหลือของ ESET ได้

Kaspersky

ผู้ใช้ Kaspersky ที่ได้รับผลกระทบควรอัปเกรดไปใช้ผลิตภัณฑ์ความปลอดภัยรุ่นล่าสุด เพราะ Kaspersky 2019 ขึ้นไปมีการบรรเทาความเสี่ยงสำหรับปัญหานี้ ซึ่งหน้าดาวน์โหลดของ Kaspersky จะมีลิงก์ "อัปเดต" ที่จะติดตั้งรุ่นล่าสุดโดยไม่ต้องเสียค่าใช้จ่ายสำหรับผู้ใช้ที่สมัครสมาชิกในปัจจุบัน

หรือคุณยังสามารถปิดใช้งานการสกัดกั้นการเชื่อมต่อปลอดภัยได้ด้วยวิธีต่อไปนี้:

1. เปิดแดชบอร์ดของแอปพลิเคชัน Kaspersky
2. คลิกที่ การตั้งค่า บริเวณมุมซ้ายล่าง
3. คลิก เพิ่มเติม แล้วคลิก เครือข่าย
4. ในส่วน การสแกนการเชื่อมต่อที่ปลอดภัย ให้กาเครื่องหมายหน้าตัวเลือก ห้ามสแกนการเชื่อมต่อที่ปลอดภัย แล้วยืนยันการเปลี่ยนแปลงนี้
5. ท้ายที่สุด เริ่มต้นระบบของคุณใหม่เพื่อให้การเปลี่ยนแปลงมีผล

การเฝ้าสังเกต/การกรองในเครือข่ายบริษัท

ผลิตภัณฑ์เฝ้าสังเกต/กรองการรับส่งข้อมูลบางอย่างที่ใช้ในสภาพแวดล้อมของบริษัทอาจสกัดกั้นการเชื่อมต่อที่เข้ารหัสด้วยการแทนที่ใบรับรองของเว็บไซต์ด้วยใบรับรองของผลิตภัณฑ์เหล่านั้น ซึ่งในขณะเดียวกันก็อาจกระตุ้นให้เกิดข้อผิดพลาดต่างๆ บนไซต์ HTTPS ที่ปลอดภัยได้

หากคุณสงสัยว่าข้อผิดพลาดอาจเกิดจากสาเหตุนี้ โปรดติดต่อแผนก IT ของคุณเพื่อตรวจสอบการกำหนดค่าปัจจุบันของ Firefox ให้แน่ใจว่าได้เปิดใช้งานให้ทำงานอย่างถูกต้องในสภาพแวดล้อมดังกล่าว เพราะใบรับรองที่จำเป็นอาจจะต้องถูกนำไปวางในที่เก็บที่เชื่อถือได้ของ Firefox ก่อน สำหรับแผนก IT สามารถพบข้อมูลเพิ่มเติมเกี่ยวกับวิธีทำดังกล่าวได้ในหน้า Mozilla Wiki CA:AddRootToFirefox

มัลแวร์

มัลแวร์บางรูปแบบที่สกัดกั้นการรับส่งข้อมูลเว็บที่เข้ารหัสอาจเป็นสาเหตุให้เกิดข้อความระบุข้อผิดพลาดนี้ได้ ให้ดูที่บทความ แก้ไขปัญหา Firefox ที่เกิดจากมัลแวร์ เกี่ยวกับวิธีรับมือกับปัญหามัลแวร์

ข้อผิดพลาดเกิดขึ้นเฉพาะบนไซต์เดียวเท่านั้น

หากคุณพบปัญหานี้เฉพาะบนไซต์เดียวเท่านั้น โดยทั่วไปแล้วข้อผิดพลาดชนิดนี้จะบ่งบอกว่าเว็บเซิร์ฟเวอร์ไม่ได้ถูกกำหนดค่าอย่างถูกต้อง อย่างไรก็ตาม หากคุณเห็นข้อผิดพลาดนี้บนเว็บไซต์หลักๆ เช่น Google, Facebook หรือไซต์ที่ใช้ทำธุรกรรมทางการเงิน คุณควรทำตามขั้นตอนที่กล่าวมาด้านบน

ใบรับรองที่ออกโดยผู้ออกเป็นของ Symantec

หลังจากที่ความผิดปกติของใบรับรองที่ออกโดยผู้ออกใบรับรองหลักของ Symantec ถูกพบอย่างแพร่หลาย ผู้จำหน่ายเบราว์เซอร์รวมถึง Mozilla ก็ได้ค่อยๆ เอาความน่าเชื่อถือออกจากใบรับรองเหล่านี้ในผลิตภัณฑ์ของตัวเอง ด้วยเหตุนี้ Firefox จะไม่เชื่อถือใบรับรองเซิร์ฟเวอร์ที่ออกโดย Symantec รวมถึงใบรับรองเซิร์ฟเวอร์ที่ออกภายใต้แบรนด์ GeoTrust, RapidSSL, Thawte และ Verisign อีก สำหรับข้อมูลเพิ่มเติม ให้ดูที่โพสต์ในบล็อกของ Mozilla นี้

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED จะเป็นข้อผิดพลาดหลัก แต่ในบางเซิร์ฟเวอร์ คุณอาจเห็นรหัสข้อผิดพลาด SEC_ERROR_UNKNOWN_ISSUER แทน หากคุณเข้าดูไซต์ดังกล่าว คุณควรติดต่อเจ้าของเว็บไซต์เพื่อแจ้งปัญหานี้ให้ทราบ

Mozilla ส่งเสริมเป็นอย่างยิ่งให้ผู้ดำเนินการของไซต์ที่ได้รับผลกระทบดำเนินการแทนที่ใบรับรองเหล่านี้ทันที ซึ่ง DigiCert ได้จัดเตรียมใบรับรองที่ใช้แทนได้โดยไม่มีค่าใช้จ่าย

ใบรับรองระดับกลางขาดหายไป

บนไซต์ที่ใบรับรองระดับกลางขาดหายไป คุณจะเห็นคำอธิบายข้อผิดพลาดต่อไปนี้หลังจากที่คุณคลิกที่ ขั้นสูง บนหน้าข้อผิดพลาดแล้ว:

ใบรับรองของเว็บไซต์อาจไม่ได้ถูกออกโดยผู้ออกใบรับรองที่เชื่อถือได้เองและไม่มีสายใบรับรองที่สมบูรณ์ใดสำหรับผู้ออกที่เชื่อถือได้ที่ถูกจัดเตรียม (สิ่งที่เรียกว่า "ใบรับรองระดับกลาง" ขาดหายไป)
คุณสามารถทดสอบดูได้ว่าไซต์ถูกกำหนดค่าอย่างถูกต้องหรือไม่ด้วยการใส่ที่อยู่ของเว็บไซต์ลงในเครื่องมือจากบุคคลที่สามอย่างเช่น SSL Labs' test page หากเครื่องมือให้ผลลัพธ์ "Chain issues: Incomplete" แสดงว่าใบรับรองระดับกลางที่เหมาะสมนั้นขาดหายไป คุณควรติดต่อเจ้าของเว็บไซต์ที่คุณมีปัญหาในการเข้าถึงเพื่อแจ้งให้ทราบเกี่ยวกับปัญหานั้น

ใบรับรองที่ออกโดยเจ้าของเว็บไซต์เอง

บนไซต์ที่มีใบรับรองที่ออกโดยเจ้าของเว็บไซต์เอง คุณจะเห็นรหัสข้อผิดพลาด ERROR_SELF_SIGNED_CERT และคำอธิบายข้อผิดพลาดต่อไปนี้หลังจากที่คุณคลิกที่ ขั้นสูง บนหน้าข้อผิดพลาดแล้ว:

ใบรับรองที่ออกโดยเจ้าของเว็บไซต์เองซึ่งไม่ได้ออกโดยผู้ออกใบรับรองที่รู้จักจะไม่ได้รับความเชื่อถือตามค่าเริ่มต้น ใบรับรองที่ออกโดยเจ้าของเว็บไซต์เองอาจช่วยปกป้องข้อมูลของคุณให้ปลอดภัยจากผู้แอบฟัง แต่ไม่ระบุข้อมูลเกี่ยวกับบุคคลที่เป็นผู้รับข้อมูลนี้ ซึ่งถือเป็นเรื่องปกติสำหรับเว็บไซต์อินทราเน็ตที่ไม่มีให้ใช้ในสาธารณะ และคุณก็อาจข้ามผ่านคำเตือนดังกล่าวสำหรับไซต์เหล่านั้นไปได้เลย

การข้ามผ่านคำเตือน

หากเว็บไซต์ยอมให้เกิดคำเตือนดังกล่าว คุณสามารถข้ามผ่านคำเตือนเพื่อที่จะเยี่ยมชมไซต์ได้ถึงแม้ว่าใบรับรองของไซต์จะยังไม่ได้รับความเชื่อถือตามค่าเริ่มต้นก็ตาม:

1. คลิก ขั้นสูง บนหน้าคำเตือน
2. คลิก ยอมรับความเสี่ยงและดำเนินการต่อ