Ошибка sec 002

SEC_ERROR_UNKNOWN_ISSUER – ошибка, появляющаяся в браузере Mozilla Firefox при посещении сайтов, начинающихся с https://, из-за неправильно настроенных или недействительных сертификатов, подтверждающих безопасность источника. Кроме Firefox ошибку могут вызывать и сторонние инструменты – антивирусы и брандмауэры, а также потерянные файлы и потерявшиеся профили пользователей.

Как исправить ошибку

Способов целенаправленно повлиять на появляющееся сообщение об обнаруженных неполадках несколько. И перепробовать придется все.

Отключение блокировки по протоколу SSL

Кроме браузера Mozilla Firefox запретить доступ к отдельным ресурсам и выдать ошибку с кодом SEC_ERROR_UNKNOWN_ISSUER способен и антивирус, активно функционирующий в фоне. Ведь проверка SSL уже давно доступна и в Kaspersky, и в Avast, и в сторонних инструментах от известных и независимых разработчиков.

Лучший способ проверить наличие проверки защищенных соединений – временно приостановить работу антивируса, вызвав контекстное меню в трее и выбрав соответствующий пункт (у Avast придется перейти в раздел «управление экранами», а уже после – определиться со сроком в 10 минут, час или навсегда, у остальных антивирусов все происходит аналогично).

Если после внесенных изменений при работе с Firefox ничего не изменилось – стоит перейти к следующему способу из списка. Если же все заработало – придется отказаться от проверки SSL уже в настройках антивируса. В Avast подобная настройка находится в разделе «Защита», пункт «Веб».

У Kaspersky настроек больше, а потому придется нажать на шестеренку вызывающую параметры, выбрать пункт «Сеть», вызвать «Дополнительные параметры защищенных соединений», и уже там отключать.

Восстановление cert8.db

Разработчики из Firefox связывают ошибку SEC_ERROR_UNKNOWN_ISSUER с поврежденным файлом cert8.db, спрятанном в корневом каталоге браузера для каждого конкретного профиля. Попасть туда вручную сложно, а потому придется искать обходные пути.

Сначала придется вызвать выпадающее меню и выбрать «Справку».

Далее – пункт «Информация для решения проблем».

На открывшейся странице собрана информация об обновлениях, найденных проблемах, доступных расширениях и параметрах безопасности. Отсюда же и «Открывается папка» профиля, где важно избавиться от, возможно, поврежденного файла.

Осталось лишь выбрать cert8.db и нажать Shift + Delete. После перезапуска браузер автоматически скачает недостающий файл и станет полностью работоспособным.

Добавляем страницу в исключения

Если просмотреть содержимое сайта нужно срочно и времени на эксперименты с файлами и антивирусами уже не осталось, предусмотрен вариант с пропуском рекомендаций от Firefox и переходом к странице напрямую. Работает способ следующим образом – при появлении ошибки стоит выбрать пункт «Добавить исключение» и принять соответствующий риск.

До полноценного перехода к сайту еще придется подтвердить согласие с параметрами безопасности, а уже после браузер приоткроет завесу тайн и разрешит просматривать информацию. Важно помнить – после перезагрузки страницы в некоторых ситуациях придется повторять процедуру добавления исключений заново. Таковы уж особенности веб-браузера.

Проверка на вирусы

Избавляться от вредоносного программного обеспечения рекомендуется двумя способами. Сначала стоит провести поиск с помощью штатного антивируса, уже установленного в системе (подойдет любой из доступных или же распространяющихся по модели Freeware с пробным периодом и подпиской, оплачиваемой через месяц или несколько недель).

С вероятностью в 99% антивирус обнаружит небезопасные файлы или информацию, от которой давно пора избавится. Но вот на появление ошибки в браузере подобные находки влияют в исключительно редких случаях.

А потому рекомендуется загрузить сервис HitmanPro, работающий и с файловой системой компьютера, и с оперативной памятью, и со скрытыми секторами, и непосредственно с браузерами. HitmanPro с легкостью избавляется от Tracking Cookie, цепляющихся на сайте и отслеживающих действия пользователей, и ненужных сертификатов, мешающих работе. И уж при таком подходе шансы на успех в разы выше.

Создание нового профиля

Кроме файла cert8.db на браузер и появление ошибки SEC_ERROR_UNKNOWN_ISSUER может влиять и сторонняя информация, хранящаяся в каждом профиле (загруженные сертификаты, скрипты, библиотеки). И иногда приходится регистрировать новый аккаунт, если остальные способы не помогают.

Перед стартом процедуры Firefox нужно закрыть через меню или же воспользовавшись комбинацией Ctrl + Shift + Q.

Далее – вызов сценария «Выполнить» с помощью горячих клавиш Win + R и ввод сочетания «firefox.exe –P» (без кавычек).

Осталось нажать Enter, и система сразу же отобразит панель для генерации нового профиля. После подготовки аккаунта желательно нажать на кнопку «Выход», а уже после – с ярлыка запустить браузер.

Как избежать появления ошибки?

Официальные разработчики Mozilla Firefox рекомендуют не посещать ресурсы, при проверке сертификатов которых появляется предупреждение. Стоит или дождаться, пока владельцы сайта подстроятся под изменения протокола https, или же – выбрать сторонний и проверенный источник. Все остальные способы обойти ограничение – описаны выше.

Время на прочтение
3 мин

Количество просмотров 39K

Сегодня утром, после горячей чашечки

шоколада

кофе, в голову пришла идея сменить привычный мне браузер Chrome на Firefox. Причиной тому было скорее не кофе, а аномальная тормознутость моего браузера в последнее время. После первого запуска предательски ввожу в адресную строку «google.ru» и вижу следующую ошибку:

Браузер даже не дает права проигнорировать ошибку. По привычке первым делом взгляд упал на дату и время. Убедившись, что временные параметры на компьютере установлены верно, перешел на другой ресурс «yandex.ru»:

Тут дела обстояли чуть лучше, Firefox уже предлагает добавить сертификат в хранилище доверенных. Тут пришлось уже включать мозги, т.к. активно пользуюсь сервисом Яндекс.Деньги и любые утечки для меня существенны. Первым делом решил проверить, что именно браузеру не нравится в сертификате:

Нет доверия стороне выдавшей сертификат. И такая картина на всех ресурсах, где используется безопасное соединение HTTPS.

Много

немного теории:
Для использования шифрованного канала связи, ваш браузер использует протокол SSL (или TLS) (HTTPS пользуется им), который, в свою очередь, использует сертификат проверки подлинности. Этот сертификат хранит в себе информацию как для шифрования данных, так и для идентификации WEB-сервера, к которому вы обращаетесь. Помимо всей прочей информации, хранимой в сертификате (тип шифрования, альтернативные имена и т.д.), нас интересуют открытый ключ, который решает проблему №1 — шифрование в открытых сетях и информация о центре, выдавшем этот сертификат, которая решает проблему №2 — доверие к открытому ключу.

Опишу на примерах.

Сценарий 1:

1. Сервис Яндекс хочет организовать безопасный канал связи со своими пользователями и генерирует для этого пару ключей (открытый и закрытый).
2. Я, как клиент сервиса Яндекс, получаю от него открытый ключ и шифрую им все свои данные. При этом я уверен, что прочитать данные сможет только владелец закрытого ключа, в нашем случае владелец — сервис Яндекс.
Этим самым сервис Яндекс решает проблему шифрования в открытых сетях.

А что если некий троянский вирус встанет между вами и сервисом Яндекс (к примеру, в роли сквозного прокси-сервера)…???

Сценарий 2:

1. Троян получает от сервиса Яндекс открытый ключ.
2. Троян генерирует пару своих ключей и передает открытую часть вам от имени сервиса Яндекс.
3. Все сообщения, адресованные от вас сервису Яндекс, перехватываются и дешифруются трояном, а троян в свою очередь шифрует эти данные ключом от Яндекс и передает их ему же. Вот тут и возникает проблема №2, а именно, проблема доверия к открытому ключу.

Данная проблема решается третьим лицом, которому доверяет, как сервис Яндекс, так и клиент. В данном случае запись указывала на AtomPark Software Inc, которая выдала тот самый сертификат подлинности сервису Яндекс.

Вернемся к моему сертификату и удостоверимся, что мы доверяем третьему лицу. В поле Общее имя (CN) группы «кем выдано» стоит запись «AtomPark Software Inc». Первый признак доверия этому центру сертификации – наличие его корневого сертификата в хранилище доверительных центров. В Mozille этот список можно открыть так: Настройка-> Дополнительно-> Сертификаты-> Просмотреть сертификаты-> Центры сертификации. По имени нашел сертификат:

На первый взгляд все в порядке. Решил сверить отпечатки SHA1 сертификатов. Полез в иерархию и увидел следующее:

В иерархии сертификатов корневым сертификатом является сам сертификат (самоподписанный).
Чтобы окончательно убедиться, что это недействительный сертификат, с браузера Chrome выполнил Online проверку актуального сертификата sslshopper.com и сверил серийные номера:

Теперь было необходимо найти этот троян. В настройках прокси было все чисто, а антивирус не дал никаких результатов. Полез в мониторинг сети и заметил некое приложение, которое проявляло активность всякий раз, когда я обращался к веб сервисам:

Первая же ссылка в интернете раскрыла все карты. Оказалось, что недавно наше руководство внесло некоторые поправки в политику защиты конфиденциальной информации. Было решено установить всему персоналу программу StaffCop, которая осуществляет мониторинг деятельности сотрудников. После отключения данной службы, решились не только проблемы с сертификатами, но и с моим основным браузером Chrome. Несмотря на большое описание, фактически задача была решена очень быстро, и я надеюсь, что последовательность моих действий поможет кому-либо.

А напоследок, то, как должны выглядеть «правильные» сертификаты:

В последнее время от пользователей Mozilla Firefox стало поступать все больше жалоб на ошибку соединения с кодом SEC_ERROR_UNKNOWN_ISSUER. Проявляется она тем, что при попытке перейти на сайт пользователь получает предупреждение «Сертификату нет доверия, так как сертификат его издателя неизвестен», «Ваше соединение не защищено» или что-то в этом роде. То, что ошибка соединения как-то связана с безопасностью, догадаться нетрудно, но что же все-таки становится ее причиной?

Как известно, при посещении сайта между браузером и сервером происходит обмен данными. Чтобы обеспечить более высокий уровень безопасности, некоторые ресурсы используют протоколы шифрования, например, тот же HTTPS. Так вот, когда в одном их таких протоколов Firefox обнаруживает несоответствие сертификатов безопасности, он блокирует соединение, пытаясь защитить систему от внешней угрозы, нередко мнимой, а юзер получает описанную выше ошибку.

Основные причины ошибки

В свою очередь, причины несоответствия сертификатов безопасности могут быть разными. Посещаемый сайт действительно может оказаться зараженным вирусами, но он может быть совершенно безопасен, но при этом его сертификат отсутствует в базе данных (обычное дело для самоподписанных сертификатов). Возможной причиной ошибки может стать повреждение файла хранилища идентификаторов, расположенного в папке профиля Firefox, нельзя также исключать некорректную идентификацию сертификата установленной антивирусной программой.

Способы исправления

Самый простой способ покончить с ошибкой раз и навсегда — это добавить блокируемый сайт в исключения. Если вы уверены в безопасности ресурса, на странице с предупреждением кликните по кнопке «Дополнительно».

Рразверните спойлер и нажмите «Добавить исключение…».

Далее в открывшемся окошке нажмите кнопку «Подтвердить исключение», убедившись перед этим, что в чекбоксе «Постоянно хранить это исключение» установлена галочка.

Все, больше с ошибкой сертификата вам сталкиваться не придется.

Приведенный выше пример наиболее простой, а вот что делать, если ни кнопки «Дополнительно», ни спойлеров на странице с предупреждением нет? Так бывает, если Firefox твердо решил не пускать вас на сайт, а также если его локальная база сертификатов оказалась повреждена. В таком случае пофиксить ошибку можно, удалив файл хранилища сертификатов cert8.db. Располагается он в папке профиля Firefox.

Чтобы в нее попасть, перейдите по внутреннему адресу about:support и нажмите в открывшейся странице «Открыть папку» напротив пункта «Папка профиля».

Теперь закройте браузер, отыщите в открывшейся папке файл cert8.db и удалите его.

Запустите браузер и попробуйте зайти на проблемную страницу. Если ошибка SEC_ERROR_UNKNOWN_ISSUER повторится, добавьте сайт в исключения как было показано выше (опция должна стать доступной).

И последнее.

Как уже было сказано, причиной ошибки может стать некорректная идентификация сертификата антивирусом. Подобное имеет место достаточно редко, но если же у вас есть основания считать, что виной в конкретном случае стал именно антивирус, отключите в нем проверку протоколов HTTPS и SSL, предварительно убедившись, что сам компьютер не заражен вирусами.