Trên các trang web được cho là an toàn ( phần URL bắt đầu với "https://"), Firefox phải xác minh rằng chứng chỉ được cung cấp bởi trang web là hợp lệ. Nếu chứng chỉ không hợp lệ, Firefox sẽ ngừng kết nối tới trang web và thay vào đó hiển thị "Cảnh báo: Rủi ro bảo mật tiềm ẩn" trên trang lỗi. Nhấp vào nút Nâng cao, bạn có thể xem lỗi cụ thể mà Firefox gặp phải.

Bài viết này giải thích lí do vì sao bạn có thể thấy mã lỗi SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED hoặc ERROR_SELF_SIGNED_CERT trên một trang web và cách để khắc phục chúng.

Cảnh báo bảo mật có nghĩa là gì?

Một kết nối là an toàn khi một trang web phải cung cấp chứng đáng tin cậy được cấp bởi cung cấp chứng chỉ đáng tin cậy để đảm bảo rằng người dùng được kết nối với địa chỉ dự định và kết nối được mã hoá. Nếu bạn nhấn vào nút Nâng cao trên trang "Cảnh bảo: Rủi ro bảo mật tiềm ẩn" và bạn thấy dòng mã SEC_ERROR_UNKNOWN_ISSUER hoặc MOZILLA_PKIX_ERROR_MITM_DETECTED, điều đó có nghĩa là chứng chỉ được cung cấp bởi cơ quan cấp chứng chỉ mà Firefox không biết trước, do đó không thể tin cậy

Lỗi xảy ra trên nhiều trang web bảo mật

Nếu bạn gặp sự cố này trên nhiều trang web HTTPS riêng biệt, điều đó cho thấy rằng có cái gì đó trên hệ thống hoặc mạng của bạn đang chặn kết nối và thêm chứng chỉ không được Firefox tin cậy. Các nguyên nhân phổ biến nhất là các phần mềm bảo mật quét các kết nối được mã hoá hoặc phần mềm độc hại đang hoạt động, thay thế chứng chỉ hợp pháp bằng chính chúng. Trường hợp cụ thể, với mã lỗi MOZILLA_PKIX_ERROR_MITM_DETECTED chỉ ra rằng Firefox phát hiện rằng kết nối của bạn đã bị chặn.

Các phần mềm diệt virus

Các phần mềm diệt virus của bên thứ ba có thể can thiệp vào các kết nối an toàn của Firefox. Bạn có thể thử cài đặt lại nó, điều này có thể kích hoạt phần mềm đặt lại các chứng chỉ của nó vào kho lưu trữ tin cậy của Firefox.

Dưới đây là một số giải pháp thay thế bạn có thể thử:

Avast/AVG

Trên các sản phẩm bảo mật của Avast hoặc AVG, bạn có thể vô hiệu hóa việc chặn các kết nối an toàn:

1. Mở bảng điều khiển của ứng dụng Avast hoặc AVG của bạn.
2. Đi tới Menu và chọn Settings > Protection > Core Shields.
3. Kéo xuống dưới tới Configure shield settings section và chọn Web Shield.
4. Bỏ chọn Enable HTTPS Scanning và xác nhận bằng cách nhấn nút OK.

   Trên các phiên bản cũ hơn của sản phẩm, bạn sẽ tìm thấy tuỳ chọn tương ứng trong Menu > Settings > Components và chọn Customize bên cạnh Web Shield

Xem bài viết hỗ trợ của Avast Managing HTTPS scanning in Web Shield in Avast Antivirus để biết thêm chi tiết. Rất nhiều thông tin thêm về tính năng này có sẵn trên trang Avast Blog.

Bitdefender

Trên các sản phẩm bảo mật của Bitdefender, bạn có thể vô hiệu hoá việc chặn các kết nối an toàn:

1. Mở bảng điêu khiển của ứng dụng Bitdefender .
2. Đi tới Protection và chọn Online Threat Prevention nhấn chọn Settings.
3. Tắt chế độ Encrypted Web Scan.

   Trên các phiên bản cũ hơn của sản phẩm, bạn có thể tìm thấy tuỳ chọn được gán nhãnScan SSL khi bạn đi tới Modules > Web Protection

Trên các phiên bản Bitdefender Antivirus Free, bạn sẽ không thể thực hiện các tuỳ chỉnh này. Bạn có thể thử sửa chữa hoặc gỡ bỏ chương trình thay vào đó khi bạn gặp các sự cố khi truy cập trang web bảo mật.

Đối với các sản phẩm Bitdefender của công ti, vui lòng tham khảo Bitdefender Support Center page.

Bullguard

Trên các sản phẩm bảo mật của Bullguard, bạn có thể vô hiệu hoá việc chặn các kết nối an toàn trên các trang web lớn cụ thể như Google, Yahoo và Facebook:

1. Mở bảng điều khiển của ứng dụng Bullguard .
2. Đi tớiSettings và chọn Advanced ở phía trên bên phải của bảng điều khiển.
3. Đi tới Antivirus > Safe browsing.
4. Bỏ tuỳ chọn Show safe results cho các trang web đang hiển thị thông báo lỗi.

ESET

Trên các sản phẩm bảo mật của ESET bạn có thể thử tắt và bật lại SSL/TLS protocol filtering hoặc vô hiệu hoá việc chặn các kết nối an toàn như được miêu tả trong ESET’s support article.

Kaspersky

Người dùng bị ảnh hưởng bởi Kaspersky nên nâng cấp lên phiên bản bảo mật mới nhất của họ, vì Kaspersky 2019 trở lên có chứa các biện pháp giảm thiểu cho vấn đề này. Trang Kaspersky Downloads page bao gồm các liên kết "Cập nhật" sẽ cài đặt miễn phí phiên bản mới nhất cho người dùng có đăng kí hiện tại.

Nếu không, bạn cũng có thể vô hiệu hoá việc chặn các kết nối an toàn:

1. Mở bảng điều khiển của ứng dụng Kaspersky.
2. Đi tới Settings nằm ở dưới cùng phía bên trái.
3. Nhấn chọn Additional và chọn Network.
4. Trong phần Encrypted connections scanning hãy kiểm tra tuỳ chọn Do not scan encrypted connections và xác nhận thay đổi này.
5. Cuối cùng, khởi động lại máy tính để hoàn tất việc thiết lập

Giám sát/lọc trong mạng công ty

Một số sản phẩm giám sát/lọc lưu lượng truy cập được sử dụng trong môi trường doanh nghiệp có thể chặn các kết nối được mã hoá bằng cách thay đổi chứng chỉ của trang web bằng chính chúng, đồng thời có thể gây ra lỗi trên các trang web HTTPS.

Nếu bạn gặp trường hợp này, vui lòng liên hệ với bộ phận IT của bạn để đảm bảo cấu hình chính xác của Firefox, cho phép nó hoạt động chính xác trong môi trường như vậy, vì chứng chỉ cần thiết phải được cài đặt trong kho tin cậy của Firefox trước tiên. Thông tin thêm cho các bộ phận IT về cách thực hiện điều này có thể được tìm thấy trong trang Mozilla Wiki CA:AddRootToFirefox.

Phần mềm độc hại

Một số phần mềm độc hại chặn lưu lượng truy cập web được mã hoá có thể gây ra thông báo lỗi này - tham khảo bài viết Khắc phục sự cố Firefox do phần mềm độc hại về cách sử lí sự cố do các phần mềm độc hại

Lỗi chỉ xảy ra trên một trang web cụ thể

Trong trường hợp bạn chỉ gặp sự cố này trên một trang web cụ thể, loại lỗi này thường chỉ ra rằng máy chủ của web không được cấu hình đúng. Tuy nhiên, nếu bạn thấy lỗi này trên một trang web lớn hợp pháp như Google, Facebook hoặc các trang web diễn ra giao dịch tài chính, bạn nên tiếp tục với Lỗi sảy ra với nhiều trang web bảo mật.

Vấn đề chứng chỉ được cấp bởi cơ quan thuộc Symantec

Sau khi một số bất thường với các chứng chỉ do các cơ quan gốc Symantec được đưa ra ánh sáng, các nhà cung cấp trình duyệt bao gồm Mozilla đang dần loại bỏ niềm tin từ các chứng chỉ này khỏi sản phẩm của họ. Firefox sẽ không còn tin tưởng vào các chứng chỉ máy chủ do Symantec, bao gồm cả những thứ được phát hành theo GeoTrust, RapidSSL, Thawte và Verisign brands. Để biết thêm thông tin, hãy xem bài đăng này trên blog Mozilla.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED sẽ là lỗi chính, nhưng với một số máy chủ, bạn có thể thấy mã lỗi SEC_ERROR_UNKNOWN_ISSUER thay thế. Nếu bạn gặp một trang web như vậy, bạn nên liên hệ với chủ sở hữu trang web.

Mozilla đặc biệt khuyến khích các nhà điều hành của các trang bị ảnh hưởng thực hiện hành động ngay lập tức để thay thế các chứng chỉ này. DigiCert đang cung cấp thay thế chứng chỉ miễn phí.

Thiếu chứng chỉ trung gian

Trên trang web bị thiếu chứng chỉ trung gian, bạn có thể thấy mô tả lỗi sau khi nhấn vào Nâng cao trên trang bị lỗi:

Chứng chỉ của trang web có thể không được cấp bởi chính cơ quan chứng nhận tin cậy và không có chuỗi chứng chỉ hoàn chỉnh nào cho cơ quan đáng tin cậy được cung cấp ( hoặc gọi là thiếu "chứng chỉ trung gian").
Bạn có thể kiểm tra xem một trang web có được cấu hình đúng hay không bằng cách nhập địa chỉ của trang web vào công cụ của bên thứ ba như SSL Labs' test page. Nếu kết quả trả về là "Sự cố chuỗi: Không hoàn thành", chứng chỉ trung gian phù hợn đã bị thiếu. Bạn nên liên hệ với chủ sở hữu trang web đang gặp sự cố để thông báo cho họ về vấn đề đó.

Chứng chỉ tự ký

Trên trang web có chứng chỉ tự ký, bạn sẽ thấy mã lỗi ERROR_SELF_SIGNED_CERT và mô tả lỗi sau, sau khi nhấn vào Nâng cao trên trang bị lỗi:

Một chứng chỉ tự kí không được cấp bởi cơ quan chứng nhận không được tin cậy theo mặc định. Chứng chỉ tự kí có thể giúp bạn an toàn khỏi những kẻ nghe trộm, nhưng không nói gì về việc người nhận dữ liệu là ai. Điều này là phổ biến với các trang web mạng nội bộ không công khai và bạn có thể bỏ qua cảnh báo cho các trang web đó

Bỏ qua cảnh báo

Nếu trang web cho phép, bạn có thể bỏ qua cảnh báo để truy cập trang, thậm chí chứng chỉ của nó không được tin cậy theo mặc định:

1. Trên trang cảnh báo, nhấn Nâng cao.
2. Nhấn Chấp nhận rủi ro và tiếp tục.