Сегодня утром, после горячей чашечки шоколада кофе, в голову пришла идея сменить привычный мне браузер Chrome на Firefox. Причиной тому было скорее не кофе, а аномальная тормознутость моего браузера в последнее время. После первого запуска предательски ввожу в адресную строку «google.ru» и вижу следующую ошибку:
Браузер даже не дает права проигнорировать ошибку. По привычке первым делом взгляд упал на дату и время. Убедившись, что временные параметры на компьютере установлены верно, перешел на другой ресурс «yandex.ru»:
Тут дела обстояли чуть лучше, Firefox уже предлагает добавить сертификат в хранилище доверенных. Тут пришлось уже включать мозги, т.к. активно пользуюсь сервисом Яндекс.Деньги и любые утечки для меня существенны. Первым делом решил проверить, что именно браузеру не нравится в сертификате:
Нет доверия стороне выдавшей сертификат. И такая картина на всех ресурсах, где используется безопасное соединение HTTPS.
Много немного теории:
Для использования шифрованного канала связи, ваш браузер использует протокол SSL (или TLS) (HTTPS пользуется им), который, в свою очередь, использует сертификат проверки подлинности. Этот сертификат хранит в себе информацию как для шифрования данных, так и для идентификации WEB-сервера, к которому вы обращаетесь. Помимо всей прочей информации, хранимой в сертификате (тип шифрования, альтернативные имена и т.д.), нас интересуют открытый ключ, который решает проблему №1 - шифрование в открытых сетях и информация о центре, выдавшем этот сертификат, которая решает проблему №2 - доверие к открытому ключу.
Опишу на примерах.
Сценарий 1:
1. Сервис Яндекс хочет организовать безопасный канал связи со своими пользователями и генерирует для этого пару ключей (открытый и закрытый).
2. Я, как клиент сервиса Яндекс, получаю от него открытый ключ и шифрую им все свои данные. При этом я уверен, что прочитать данные сможет только владелец закрытого ключа, в нашем случае владелец - сервис Яндекс.
Этим самым сервис Яндекс решает проблему шифрования в открытых сетях.
А что если некий троянский вирус встанет между вами и сервисом Яндекс (к примеру, в роли сквозного прокси-сервера)…???
Сценарий 2:
1. Троян получает от сервиса Яндекс открытый ключ.
2. Троян генерирует пару своих ключей и передает открытую часть вам от имени сервиса Яндекс.
3. Все сообщения, адресованные от вас сервису Яндекс, перехватываются и дешифруются трояном, а троян в свою очередь шифрует эти данные ключом от Яндекс и передает их ему же. Вот тут и возникает проблема №2, а именно, проблема доверия к открытому ключу
.
Данная проблема решается третьим лицом, которому доверяет, как сервис Яндекс, так и клиент. В данном случае запись указывала на AtomPark Software Inc, которая выдала тот самый сертификат подлинности сервису Яндекс.
Вернемся к моему сертификату и удостоверимся, что мы доверяем третьему лицу. В поле Общее имя (CN) группы «кем выдано» стоит запись «AtomPark Software Inc». Первый признак доверия этому центру сертификации – наличие его корневого сертификата в хранилище доверительных центров. В Mozille этот список можно открыть так: Настройка-> Дополнительно-> Сертификаты-> Просмотреть сертификаты-> Центры сертификации. По имени нашел сертификат:
На первый взгляд все в порядке. Решил сверить отпечатки SHA1 сертификатов. Полез в иерархию и увидел следующее:
В иерархии сертификатов корневым сертификатом является сам сертификат (самоподписанный).
Чтобы окончательно убедиться, что это недействительный сертификат, с браузера Chrome выполнил Online проверку актуального сертификата sslshopper.com и сверил серийные номера:
Теперь было необходимо найти этот троян. В настройках прокси было все чисто, а антивирус не дал никаких результатов. Полез в мониторинг сети и заметил некое приложение, которое проявляло активность всякий раз, когда я обращался к веб сервисам:
Первая же ссылка в интернете раскрыла все карты. Оказалось, что недавно наше руководство внесло некоторые поправки в политику защиты конфиденциальной информации. Было решено установить всему персоналу программу StaffCop, которая осуществляет мониторинг деятельности сотрудников. После отключения данной службы, решились не только проблемы с сертификатами, но и с моим основным браузером Chrome. Несмотря на большое описание, фактически задача была решена очень быстро, и я надеюсь, что последовательность моих действий поможет кому-либо.
А напоследок, то, как должны выглядеть «правильные» сертификаты:
Если вы видите ошибку при установлении защищённого соединения в Firefox, значит, браузер определил недостаточный уровень шифрования протокола HTTPS или его сертификат недействителен. Блокировка доступа к веб-ресурсу в данном случае осуществляется в целях безопасности для предупреждения потери личных данных и проникновения вирусов в систему. Но в некоторых случаях ошибка «ваше соединение не защищено» может появляться по причине неполадок браузера и некорректных настроек системы, а не из-за проблем, связанных с протоколом.
В этом руководстве рассматриваются варианты устранения этой неполадки в Мозилла Фаерфокс и ситуации, когда она появляется.
Причина №1: неправильно выставлено время и дата
Если на вкладке вместо запрашиваемого сайта отобразился код ошибки:
SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
SEC_ERROR_EXPIRED_CERTIFICATE
Это говорит о том, что истёк срок сертификата. Но иногда этот тип ошибки может быть вызван неправильно установленными датой и временем в опциях системы. Щёлкните по часам в трее, проверьте число, месяц и время на соответствие. Нужно обязательно установить действительные значения.
По завершении настройки попробуйте снова открыть сайт.
Причина №2: устаревшая версия
В устаревших версиях браузера Mozilla Firefox используется протокол SSLv3. На данный момент он признан потенциально опасным и больше не используется. В банковских онлайн-сервисах, интернет-магазинах зашифрованный коннект с его задействованием невозможен. Появляется ошибка:
ssl_error_ssl_disabled
Это говорит о том, что, скорей всего, браузер нуждается в установке апдейта. А выполняется он так:
1. В меню веб-обозревателя клацните раздел «Справка».
2. В выпавшем списке кликните «О Firefox».
3. Дождитесь завершения обновления. Загрузка апдейта начнётся автоматически, а затем появится сообщение «Установлена последняя версия… ».
Причина №3: отключение SSL3 в настройках
Иногда избавиться от ошибки соединения по HTTPS можно посредством тонкой отстройки браузера:
1. В адресной строке FF наберите «about:config» и нажмите «enter».
2. В поле поиск введите запрос - ssl3.
3. В строках:
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha
Щелчком мышки измените значение: c «true» на «false».
Причина №4: повреждена база сертификатов Firefox
В результате действий вируса или некорректных настроек может быть повреждена база сертификатов браузера, а точнее специальный файл, в котором она хранится. Чтобы восстановить его и, соответственно, устранить ошибку соединения, сделайте следующее:
1. Клацните кнопку «три полоски» вверху справа (кнопка «Меню»).
2. В нижней части открывшейся панели нажмите «знак вопроса».
3. В подменю кликните «Информация для решения проблем».
4. На новой страничке, в графе «Папка профиля», щёлкните «Открыть папку».
5. В открывшейся директории профиля найдите файл «cert8», а затем клацните по нему правой кнопкой.
6. В системном меню запустите команду «Удалить».
7. Перезапустите Firefox (новая база автоматически будет создана в папке профиля).
Успешной вам настройки браузера и безопасного веб-сёрфинга!
Переходя на страницы сайтов или интернет-сервисов, пользователи Mozilla Firefox могут, вместо нужной им страницы, увидеть предупреждение: «Это соединение является недоверенным» или «Сертификату нет доверия, так как сертификат его издателя неизвестен. (Код ошибки: SEC_ERROR_UNKNOWN_ISSUER)». Что нужно делать в таком случае и как устранить ошибку вы можете прочитать в этой статье.
Что это за ошибка?
Во время перехода на страничку web-ресурса происходит обмен данными между клиентом (это в данном случае Mozilla Firefox) и сервером. Некоторые сайты имеют протоколы шифрования, позволяющие сделать подключение более безопасным. Одним из таких протоколов является HTTPS. Данные, что передаются по этому протоколу, «упаковываются» в криптографический протокол SSL или TLS .
Если в одном из криптографических протоколов было обнаружено несоответствие сертификатов безопасности, браузер, пытаясь защитить ваше устройство от небезопасного подключения, уведомит вас кодом ошибки «SEC_ERROR_UNKNOWN_ISSUER».
Причины возникновения
Почему вы получили предупреждение? Причин может быть несколько:
- Сайт небезопасен для посетителей, так как имеет неизвестный сертификат (возможно заражен вирусами или в редких случаях является носителем вирусной рекламы).
- Сертификат сайта защищает данные от прослушки, но является самописным, поэтому его нет в базе доверенных.
- Сертификат сайта является доверенным, но браузер считает иначе из-за повреждений файла cert8.db (хранилища идентификаторов).
- Сертификат является доверенным, но установленный антивирус не может идентифицировать его в своей базе данных (или включено сканирование SSL).
Совет! В редких случаях, причиной такого уведомления может оказаться уже зараженный вирусами компьютер. Проверьте ваш ПК на вредоносное ПО с помощью Dr.Web CureIt! и Kaspersky Virus Removal Tool .
Если вы уверены в надежности web-ресурса на который переходите и не желаете его покидать, есть несколько вариантов решения проблемы. В противном случае, покиньте сайт нажав кнопку «Уходим отсюда».
Удаление поврежденного файла cert8.db
Файл хранилища идентификаторов мог повредится и содержать некорректные сведения о доверенных сертификатах. В таком случае, его следует удалить, чтобы вновь установить безопасное соединение и беспрепятственно войти на сайт:
- В правом верхнем углу нажмите на кнопку «Открыть меню».
- Внизу открывшегося списка нажмите на «Открыть меню справка» (вопросительный знак в круге).
- Затем нажмите «Информация для решения проблем».
- В новом окне в «Сведения о приложении» нажмите «Показать папку» в строке «Папка профиля».
- В открывшейся папке найдите файл cert8.db и удалите.
- Перейдите на вкладку с проблемной страницей и нажмите «Обновить страницу».
Совет! Чтобы быстро перейти к указанному файлу, нажмите комбинацию клавиш Win+R и выполните команду %APPDATA%\Mozilla\Firefox\Profiles\
Перейдите в папку, в которой будет cert8.db.
Если, после обновления вы снова получили ошибку SEC_ERROR_UNKNOWN_ISSUER, переходите к следующему пункту.
12 октября 2015 в 17:06Mozilla: Ошибка sec_error_unknown_issuer (мысли вслух)
- IT-компании
Сегодня утром, после горячей чашечки шоколада кофе, в голову пришла идея сменить привычный мне браузер Chrome на Firefox. Причиной тому было скорее не кофе, а аномальная тормознутость моего браузера в последнее время. После первого запуска предательски ввожу в адресную строку «google.ru» и вижу следующую ошибку:
Браузер даже не дает права проигнорировать ошибку. По привычке первым делом взгляд упал на дату и время. Убедившись, что временные параметры на компьютере установлены верно, перешел на другой ресурс «yandex.ru»:
Тут дела обстояли чуть лучше, Firefox уже предлагает добавить сертификат в хранилище доверенных. Тут пришлось уже включать мозги, т.к. активно пользуюсь сервисом Яндекс.Деньги и любые утечки для меня существенны. Первым делом решил проверить, что именно браузеру не нравится в сертификате:
Нет доверия стороне выдавшей сертификат. И такая картина на всех ресурсах, где используется безопасное соединение HTTPS.
Много немного теории:
Для использования шифрованного канала связи, ваш браузер использует протокол SSL (или TLS) (HTTPS пользуется им), который, в свою очередь, использует сертификат проверки подлинности. Этот сертификат хранит в себе информацию как для шифрования данных, так и для идентификации WEB-сервера, к которому вы обращаетесь. Помимо всей прочей информации, хранимой в сертификате (тип шифрования, альтернативные имена и т.д.), нас интересуют открытый ключ, который решает проблему №1 - шифрование в открытых сетях и информация о центре, выдавшем этот сертификат, которая решает проблему №2 - доверие к открытому ключу.
Опишу на примерах.
Сценарий 1:
1. Сервис Яндекс хочет организовать безопасный канал связи со своими пользователями и генерирует для этого пару ключей (открытый и закрытый).
2. Я, как клиент сервиса Яндекс, получаю от него открытый ключ и шифрую им все свои данные. При этом я уверен, что прочитать данные сможет только владелец закрытого ключа, в нашем случае владелец - сервис Яндекс.
Этим самым сервис Яндекс решает проблему шифрования в открытых сетях.
А что если некий троянский вирус встанет между вами и сервисом Яндекс (к примеру, в роли сквозного прокси-сервера)…???
Сценарий 2:
1. Троян получает от сервиса Яндекс открытый ключ.
2. Троян генерирует пару своих ключей и передает открытую часть вам от имени сервиса Яндекс.
3. Все сообщения, адресованные от вас сервису Яндекс, перехватываются и дешифруются трояном, а троян в свою очередь шифрует эти данные ключом от Яндекс и передает их ему же. Вот тут и возникает проблема №2, а именно, проблема доверия к открытому ключу
.
Данная проблема решается третьим лицом, которому доверяет, как сервис Яндекс, так и клиент. В данном случае запись указывала на AtomPark Software Inc, которая выдала тот самый сертификат подлинности сервису Яндекс.
Вернемся к моему сертификату и удостоверимся, что мы доверяем третьему лицу. В поле Общее имя (CN) группы «кем выдано» стоит запись «AtomPark Software Inc». Первый признак доверия этому центру сертификации – наличие его корневого сертификата в хранилище доверительных центров. В Mozille этот список можно открыть так: Настройка-> Дополнительно-> Сертификаты-> Просмотреть сертификаты-> Центры сертификации. По имени нашел сертификат:
На первый взгляд все в порядке. Решил сверить отпечатки SHA1 сертификатов. Полез в иерархию и увидел следующее:
В иерархии сертификатов корневым сертификатом является сам сертификат (самоподписанный).
Чтобы окончательно убедиться, что это недействительный сертификат, с браузера Chrome выполнил Online проверку актуального сертификата sslshopper.com и сверил серийные номера:
Теперь было необходимо найти этот троян. В настройках прокси было все чисто, а антивирус не дал никаких результатов. Полез в мониторинг сети и заметил некое приложение, которое проявляло активность всякий раз, когда я обращался к веб сервисам:
Первая же ссылка в интернете раскрыла все карты. Оказалось, что недавно наше руководство внесло некоторые поправки в политику защиты конфиденциальной информации. Было решено установить всему персоналу программу StaffCop, которая осуществляет мониторинг деятельности сотрудников. После отключения данной службы, решились не только проблемы с сертификатами, но и с моим основным браузером Chrome. Несмотря на большое описание, фактически задача была решена очень быстро, и я надеюсь, что последовательность моих действий поможет кому-либо.
А напоследок, то, как должны выглядеть «правильные» сертификаты:
В
последнее время от пользователей Mozilla Firefox
стало поступать все больше жалоб на ошибку соединения с кодом SEC_ERROR_UNKNOWN_ISSUER
. Проявляется она тем, что при попытке перейти на сайт пользователь получает предупреждение «Сертификату нет доверия, так как сертификат его издателя неизвестен»
, «Ваше соединение не защищено»
или что-то в этом роде. То, что ошибка соединения как-то связана с безопасностью, догадаться нетрудно, но что же все-таки становится ее причиной?
Как известно, при посещении сайта между браузером и сервером происходит обмен данными. Чтобы обеспечить более высокий уровень безопасности, некоторые ресурсы используют протоколы шифрования, например, тот же HTTPS . Так вот, когда в одном их таких протоколов Firefox обнаруживает несоответствие сертификатов безопасности, он блокирует соединение, пытаясь защитить систему от внешней угрозы, нередко мнимой, а юзер получает описанную выше ошибку.
Основные причины ошибки
В свою очередь, причины несоответствия сертификатов безопасности могут быть разными. Посещаемый сайт действительно может оказаться зараженным вирусами, но он может быть совершенно безопасен, но при этом его сертификат отсутствует в базе данных (обычное дело для самоподписанных сертификатов) . Возможной причиной ошибки может стать повреждение файла хранилища идентификаторов, расположенного в папке профиля Firefox , нельзя также исключать некорректную идентификацию сертификата установленной антивирусной программой.
Способы исправления
Самый простой способ покончить с ошибкой раз и навсегда - это добавить блокируемый сайт в исключения . Если вы уверены в безопасности ресурса, на странице с предупреждением кликните по кнопке «Дополнительно».
Рразверните спойлер и нажмите «Добавить исключение…» .
Все, больше с ошибкой сертификата вам сталкиваться не придется.
Приведенный выше пример наиболее простой, а вот что делать, если ни кнопки «Дополнительно», ни спойлеров на странице с предупреждением нет? Так бывает, если Firefox твердо решил не пускать вас на сайт, а также если его локальная база сертификатов оказалась повреждена. В таком случае пофиксить ошибку можно, удалив файл хранилища сертификатов cert8.db . Располагается он в папке профиля Firefox .
Чтобы в нее попасть, перейдите по внутреннему адресу about:support и нажмите в открывшейся странице «Открыть папку» напротив пункта .
Теперь закройте браузер , отыщите в открывшейся папке файл cert8.db и удалите его.
Запустите браузер и попробуйте зайти на проблемную страницу. Если ошибка SEC_ERROR_UNKNOWN_ISSUER повторится, добавьте сайт в исключения как было показано выше (опция должна стать доступной) .
И последнее.
Как уже было сказано, причиной ошибки может стать некорректная идентификация сертификата антивирусом . Подобное имеет место достаточно редко, но если же у вас есть основания считать, что виной в конкретном случае стал именно антивирус, отключите в нем проверку протоколов HTTPS и SSL , предварительно убедившись, что сам компьютер не заражен вирусами.
Программа Onion Router (Tor) представляет собой бесплатное программное обеспечение, облегчающее анонимную связь и просмотр Интернета. Это надежное средство для просмотра страниц Интернета, которое поставляется в виде бра...