Trên các trang web được cho là an toàn ( phần URL bắt đầu với "https://"), Firefox phải xác minh rằng chứng chỉ được cung cấp bởi trang web là hợp lệ. Nếu chứng chỉ không hợp lệ, Firefox sẽ ngừng kết nối tới trang web và thay vào đó hiển thị "Cảnh báo: Rủi ro bảo mật tiềm ẩn" trên trang lỗi. Nhấp vào nút
, bạn có thể xem lỗi cụ thể mà Firefox gặp phải.Bài viết này giải thích lí do vì sao bạn có thể thấy mã lỗi SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED hoặc ERROR_SELF_SIGNED_CERT trên một trang web và cách để khắc phục chúng.
Mục lục…
Cảnh báo bảo mật có nghĩa là gì?
Một kết nối là an toàn khi một trang web phải cung cấp chứng đáng tin cậy được cấp bởi cung cấp chứng chỉ đáng tin cậy để đảm bảo rằng người dùng được kết nối với địa chỉ dự định và kết nối được mã hoá. Nếu bạn nhấn vào nút trên trang "Cảnh bảo: Rủi ro bảo mật tiềm ẩn" và bạn thấy dòng mã SEC_ERROR_UNKNOWN_ISSUER hoặc MOZILLA_PKIX_ERROR_MITM_DETECTED, điều đó có nghĩa là chứng chỉ được cung cấp bởi cơ quan cấp chứng chỉ mà Firefox không biết trước, do đó không thể tin cậy
Lỗi xảy ra trên nhiều trang web bảo mật
Nếu bạn gặp sự cố này trên nhiều trang web HTTPS riêng biệt, điều đó cho thấy rằng có cái gì đó trên hệ thống hoặc mạng của bạn đang chặn kết nối và thêm chứng chỉ không được Firefox tin cậy. Các nguyên nhân phổ biến nhất là các phần mềm bảo mật quét các kết nối được mã hoá hoặc phần mềm độc hại đang hoạt động, thay thế chứng chỉ hợp pháp bằng chính chúng. Trường hợp cụ thể, với mã lỗi MOZILLA_PKIX_ERROR_MITM_DETECTED chỉ ra rằng Firefox phát hiện rằng kết nối của bạn đã bị chặn.
Các phần mềm diệt virus
Các phần mềm diệt virus của bên thứ ba có thể can thiệp vào các kết nối an toàn của Firefox. Bạn có thể thử cài đặt lại nó, điều này có thể kích hoạt phần mềm đặt lại các chứng chỉ của nó vào kho lưu trữ tin cậy của Firefox.
Chúng tôi khuyên bạn nên gỡ cài đặt phần mềm của bên thứ ba và sử dụng phần mềm bảo mật do Microsoft cung cấp cho Windows:
- Windows 8 và Windows 10 - Windows Defender (được tích hợp sẵn)
Nếu bạn không muốn gỡ cài đặt phần mềm của bên thứ ba, bạn có thể thử cài đặt lại phần mềm, điều này có thể kích hoạt phần mềm đặt lại chứng chỉ của nó vào kho uỷ thác của Firefox
Dưới đây là một số giải pháp thay thế bạn có thể thử:
Avast/AVG
Trên các sản phẩm bảo mật của Avast hoặc AVG, bạn có thể vô hiệu hóa việc chặn các kết nối an toàn:
- Mở bảng điều khiển của ứng dụng Avast hoặc AVG của bạn.
- Đi tới và chọn > > .
- Kéo xuống dưới tới Configure shield settings section và chọn .
- Bỏ chọn
- Trên các phiên bản cũ hơn của sản phẩm, bạn sẽ tìm thấy tuỳ chọn tương ứng trong> > và chọn bên cạnh
và xác nhận bằng cách nhấn nút .
Xem bài viết hỗ trợ của Avast Managing HTTPS scanning in Web Shield in Avast Antivirus để biết thêm chi tiết. Rất nhiều thông tin thêm về tính năng này có sẵn trên trang Avast Blog.
Bitdefender
Trên các sản phẩm bảo mật của Bitdefender, bạn có thể vô hiệu hoá việc chặn các kết nối an toàn:
- Mở bảng điêu khiển của ứng dụng Bitdefender .
- Đi tới và chọn nhấn chọn .
- Tắt chế độ Encrypted Web Scan.
- Trên các phiên bản cũ hơn của sản phẩm, bạn có thể tìm thấy tuỳ chọn được gán nhãnScan SSL khi bạn đi tới >
Trên các phiên bản Bitdefender Antivirus Free, bạn sẽ không thể thực hiện các tuỳ chỉnh này. Bạn có thể thử sửa chữa hoặc gỡ bỏ chương trình thay vào đó khi bạn gặp các sự cố khi truy cập trang web bảo mật.
Đối với các sản phẩm Bitdefender của công ti, vui lòng tham khảo Bitdefender Support Center page.
Bullguard
Trên các sản phẩm bảo mật của Bullguard, bạn có thể vô hiệu hoá việc chặn các kết nối an toàn trên các trang web lớn cụ thể như Google, Yahoo và Facebook:
- Mở bảng điều khiển của ứng dụng Bullguard .
- Đi tớiAdvanced ở phía trên bên phải của bảng điều khiển. và chọn
- Đi tới > .
- Bỏ tuỳ chọn cho các trang web đang hiển thị thông báo lỗi.
ESET
Trên các sản phẩm bảo mật của ESET bạn có thể thử tắt và bật lại SSL/TLS protocol filtering hoặc vô hiệu hoá việc chặn các kết nối an toàn như được miêu tả trong ESET’s support article.
Kaspersky
Người dùng bị ảnh hưởng bởi Kaspersky nên nâng cấp lên phiên bản bảo mật mới nhất của họ, vì Kaspersky 2019 trở lên có chứa các biện pháp giảm thiểu cho vấn đề này. Trang Kaspersky Downloads page bao gồm các liên kết "Cập nhật" sẽ cài đặt miễn phí phiên bản mới nhất cho người dùng có đăng kí hiện tại.
Nếu không, bạn cũng có thể vô hiệu hoá việc chặn các kết nối an toàn:
- Mở bảng điều khiển của ứng dụng Kaspersky.
- Đi tới nằm ở dưới cùng phía bên trái.
- Nhấn chọn và chọn .
- Trong phần Do not scan encrypted connections và xác nhận thay đổi này. hãy kiểm tra tuỳ chọn
- Cuối cùng, khởi động lại máy tính để hoàn tất việc thiết lập
Cài đặt Family Safety trong tài khoản Windows
Trong các tài khoản Microsoft Windows được bảo vệ bởi cài đặt Family Safety, các kết nối an toàn trên các trang web phổ biến như Google, Facebook và Youtube có thể bị chặn và chứng chỉ của chúng được thay thế bằng chứng chỉ cho Microsoft cấp để lọc và ghi lại các hoạt động tìm kiếm.
Đọc thêm Microsoft FAQ page về cách tắt các tính năng gia đình cho các tài khoản này. Trong trường hợp bạn muốn cài đặt thủ công các chứng chỉ còn thiếu cho các tài khoản bị ảnh hưởng, bạn có thể tham khảo bài viết Microsoft support article.
Giám sát/lọc trong mạng công ty
Một số sản phẩm giám sát/lọc lưu lượng truy cập được sử dụng trong môi trường doanh nghiệp có thể chặn các kết nối được mã hoá bằng cách thay đổi chứng chỉ của trang web bằng chính chúng, đồng thời có thể gây ra lỗi trên các trang web HTTPS.
Nếu bạn gặp trường hợp này, vui lòng liên hệ với bộ phận IT của bạn để đảm bảo cấu hình chính xác của Firefox, cho phép nó hoạt động chính xác trong môi trường như vậy, vì chứng chỉ cần thiết phải được cài đặt trong kho tin cậy của Firefox trước tiên. Thông tin thêm cho các bộ phận IT về cách thực hiện điều này có thể được tìm thấy trong trang Mozilla Wiki CA:AddRootToFirefox.
Phần mềm độc hại
Một số phần mềm độc hại chặn lưu lượng truy cập web được mã hoá có thể gây ra thông báo lỗi này - tham khảo bài viết Khắc phục sự cố Firefox do phần mềm độc hại về cách sử lí sự cố do các phần mềm độc hại
Lỗi chỉ xảy ra trên một trang web cụ thể
Trong trường hợp bạn chỉ gặp sự cố này trên một trang web cụ thể, loại lỗi này thường chỉ ra rằng máy chủ của web không được cấu hình đúng. Tuy nhiên, nếu bạn thấy lỗi này trên một trang web lớn hợp pháp như Google, Facebook hoặc các trang web diễn ra giao dịch tài chính, bạn nên tiếp tục với Lỗi sảy ra với nhiều trang web bảo mật.
Vấn đề chứng chỉ được cấp bởi cơ quan thuộc Symantec
Sau khi một số bất thường với các chứng chỉ do các cơ quan gốc Symantec được đưa ra ánh sáng, các nhà cung cấp trình duyệt bao gồm Mozilla đang dần loại bỏ niềm tin từ các chứng chỉ này khỏi sản phẩm của họ. Firefox sẽ không còn tin tưởng vào các chứng chỉ máy chủ do Symantec, bao gồm cả những thứ được phát hành theo GeoTrust, RapidSSL, Thawte và Verisign brands. Để biết thêm thông tin, hãy xem bài đăng này trên blog Mozilla.
MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED sẽ là lỗi chính, nhưng với một số máy chủ, bạn có thể thấy mã lỗi SEC_ERROR_UNKNOWN_ISSUER thay thế. Nếu bạn gặp một trang web như vậy, bạn nên liên hệ với chủ sở hữu trang web.
Mozilla đặc biệt khuyến khích các nhà điều hành của các trang bị ảnh hưởng thực hiện hành động ngay lập tức để thay thế các chứng chỉ này. DigiCert đang cung cấp thay thế chứng chỉ miễn phí.
Thiếu chứng chỉ trung gian
Trên trang web bị thiếu chứng chỉ trung gian, bạn có thể thấy mô tả lỗi sau khi nhấn vào
trên trang bị lỗi:Máy chủ có thể không gửi chứng chỉ trung gian phù hợp.
Chứng chỉ gốc bổ sung có thể cần phải nhập.
Chứng chỉ của trang web có thể không được cấp bởi chính cơ quan chứng nhận tin cậy và không có chuỗi chứng chỉ hoàn chỉnh nào cho cơ quan đáng tin cậy được cung cấp ( hoặc gọi là thiếu "chứng chỉ trung gian").
Bạn có thể kiểm tra xem một trang web có được cấu hình đúng hay không bằng cách nhập địa chỉ của trang web vào công cụ của bên thứ ba như SSL Labs' test page. Nếu kết quả trả về là "Sự cố chuỗi: Không hoàn thành", chứng chỉ trung gian phù hợn đã bị thiếu.
Bạn nên liên hệ với chủ sở hữu trang web đang gặp sự cố để thông báo cho họ về vấn đề đó.
Chứng chỉ tự ký
Trên trang web có chứng chỉ tự ký, bạn sẽ thấy mã lỗi ERROR_SELF_SIGNED_CERT và mô tả lỗi sau, sau khi nhấn vào
trên trang bị lỗi:Một chứng chỉ tự kí không được cấp bởi cơ quan chứng nhận không được tin cậy theo mặc định. Chứng chỉ tự kí có thể giúp bạn an toàn khỏi những kẻ nghe trộm, nhưng không nói gì về việc người nhận dữ liệu là ai. Điều này là phổ biến với các trang web mạng nội bộ không công khai và bạn có thể bỏ qua cảnh báo cho các trang web đó
Bỏ qua cảnh báo
Nếu trang web cho phép, bạn có thể bỏ qua cảnh báo để truy cập trang, thậm chí chứng chỉ của nó không được tin cậy theo mặc định:
- Trên trang cảnh báo, nhấn .
- Nhấn .