Mozilla pkix error ca cert used as end entity

Mozilla pkix error ca cert used as end entity

This error could indicate that the router has a self-signed certificate, but the certificate’s listed uses do not include being used to sign certificates. Can you describe what you exported and where you imported it to? Perhaps you could also link to the article with the instructions.

I followed these instructions from ASUS. They are, however, written for Windows 10 and Google Chrome. So the part I followed was:

How to download certification from ASUSWRT and update to your Browser:

Step 1: Go to Administration -> System tab.

Step 2: Download certificate: Click Export button, then you will get a file named cert.tar​.

Step 3: Unzip cert file.

To import the file I opened Firefox’s Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

This error could indicate that the router has a self-signed certificate, but the certificate’s listed uses do not include being used to sign certificates. Can you describe what you exported and where you imported it to? Perhaps you could also link to the article with the instructions.

See also:

• Bug 1590217 — FF presents SSL Error: SEC_ERROR_INADEQUATE_KEY_USAGE

I am not technically knowledgeable to understand most of this bug report.

I want to securely access my router’s web interface via HTTPS. To do so I need to export a certificate from the router and import it to Firefox. Is my inability to do this merely because of the bug in question?

See also: *[https://bugzilla.mozilla.org/show_bug.cgi?id=1590217 Bug 1590217] — FF presents SSL Error: SEC_ERROR_INADEQUATE_KEY_USAGE

To import the file I opened Firefox’s Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

Try removing the certificate from the Authorities list — it does not seem to be valid for signing certificates. Instead, try importing it to the Servers list in that same Certificate Manager dialog.

Note: the result would be similar to what happens if you do not import manually, but instead you go to the page and it says «Warning: Potential Security Risk Ahead» and you click the Advanced button and create an exception using the «Accept the Risk and Continue» button.

To import the file I opened Firefox’s Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

For some reason I am having trouble quoting and reply to jscher2000. Here is my reply:

The instructions I followed were from the ASUS website, but for Windows 10 and Google Chrome. So I only followed:

Step 1: Go to Administration -> System tab.

Step 2: Download certificate: Click Export button, then you will get a file named cert.tar​.

Step 3: Unzip cert file (cert.crt)

To import the certificate into Firefox, I open up Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

Hmm, where did the Import button go? I guess try adding an exception through the standard error page (the one you get without importing anything). Does that work?

I completely removed Firefox and all configuration files. After reinstalling Firefox and without importing the certificate this is what happens:

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

There is no option to Add Exception on this page.

After importing the certificate:

Error code: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

Further details of the error show: A certificate with a basic constraints extension with cA:TRUE is being used as an end-entity certificate.

I am not sure how to «Re-generate the end-entity certificate without the basic constraints extension» as suggested on the Mozilla Wiki.

Finally, in the Certification Manager I added an exception in the Servers tab. But this is only a temporary exception and I am not able to click Permanently store this exception.

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

I can’t test your device, but on the test page at https://self-signed.badssl.com/ , you usually can add an exception using this method:

click the Advanced button > click the Accept the Risk and Continue button

That creates a permanent exception by default. Perhaps there is some additional issue with your certificate that blocks that??

Joe Buckner [[#answer-1356256|said]]

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

That only creates a temporary exception for me. My guess is my operating system, Debian, makes some changes to the Firefox package.

That only creates a temporary exception for me. My guess is my operating system, Debian, makes some changes to the Firefox package.

You could take a look at this preference:

(1) In a new tab, type or paste about:config in the address bar and press Enter/Return. Click the button accepting the risk.

(2) In the search box in the page, type or paste certerr and pause while the list is filtered

(3) If the security.certerrors.permanentOverride preference has a value of false, double-click it to switch the value to true

Joe Buckner [[#answer-1356311|said]]

That only creates a temporary exception for me. My guess is my operating system, Debian, makes some changes to the Firefox package.

The security.certerrors.permanentOverride preference shows a value of true.

You can try to set security.enterprise_roots.enabled = true on the about:config page.

You can open the about:config page via the location/address bar. You can accept the warning and click «I accept the risk!» to continue.

You can try to set security.enterprise_roots.enabled = true on the about:config page. You can open the about:config page via the location/address bar. You can accept the warning and click «I accept the risk!» to continue.

• https://support.mozilla.org/en-US/kb/about-config-editor-firefox

Still produces the same error.

You can try to set security.enterprise_roots.enabled = true on the about:config page. You can open the about:config page via the location/address bar. You can accept the warning and click «I accept the risk!» to continue. *https://support.mozilla.org/en-US/kb/about-config-editor-firefox

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

I can’t test your device, but on the test page at https://self-signed.badssl.com/ , you usually can add an exception using this method:

click the Advanced button > click the Accept the Risk and Continue button

That creates a permanent exception by default. Perhaps there is some additional issue with your certificate that blocks that??

I found the issue with this solution. My preferences are set to permanent private browsing. With this preference it seems Firefox will only create a temporary exception.

So I set browsing preferences to default, created a permanent exception and then changed back to permanent private browsing. The exception remains permanent.

I am not technically proficient to know if this is a design bug or a security feature.

Final question. Is this solution to my problem (accessing my router’s web interface without the warning message) safer than simply the default HTTP access given that Firefox does not accept the certificate?

Joe Buckner [[#answer-1356256|said]]

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

I can’t test your device, but on the test page at https://self-signed.badssl.com/ , you usually can add an exception using this method: click the Advanced button > click the Accept the Risk and Continue button That creates a permanent exception by default. Perhaps there is some additional issue with your certificate that blocks that??

Yes, when you are in PB mode then you can only set a temporary exception and not a permanent exception. I remember that I had thought about posting this, but I had forgotten or otherwise had chosen not to mention this.

Выбранное решение

My preferences are set to permanent private browsing. With this preference it seems Firefox will only create a temporary exception. . I am not technically proficient to know if this is a design bug or a security feature.

Someone was very thorough in figuring out the unexpected locations on disk that URLs you visited during recent sessions might be discovered. 😉

Final question. Is this solution to my problem (accessing my router’s web interface without the warning message) safer than simply the default HTTP access given that Firefox does not accept the certificate?

There are two aspects:

(1) Verifying that the server is the one it says it is and not an impostor. This part fails when the certificate chain cannot be verified.

(2) Encrypting your session. This part is still useful if, for example, you are entering a password or other sensitive credentials. Using HTTPS prevents someone sniffing on the network from reading that.

Joe Buckner [[#answer-1356488|said]]

My preferences are set to permanent private browsing. With this preference it seems Firefox will only create a temporary exception. . I am not technically proficient to know if this is a design bug or a security feature.

Final question. Is this solution to my problem (accessing my router’s web interface without the warning message) safer than simply the default HTTP access given that Firefox does not accept the certificate?

Источник

Mozilla pkix error ca cert used as end entity

This error could indicate that the router has a self-signed certificate, but the certificate’s listed uses do not include being used to sign certificates. Can you describe what you exported and where you imported it to? Perhaps you could also link to the article with the instructions.

I followed these instructions from ASUS. They are, however, written for Windows 10 and Google Chrome. So the part I followed was:

How to download certification from ASUSWRT and update to your Browser:

Step 1: Go to Administration -> System tab.

Step 2: Download certificate: Click Export button, then you will get a file named cert.tar​.

Step 3: Unzip cert file.

To import the file I opened Firefox’s Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

This error could indicate that the router has a self-signed certificate, but the certificate’s listed uses do not include being used to sign certificates. Can you describe what you exported and where you imported it to? Perhaps you could also link to the article with the instructions.

See also:

• Bug 1590217 — FF presents SSL Error: SEC_ERROR_INADEQUATE_KEY_USAGE

I am not technically knowledgeable to understand most of this bug report.

I want to securely access my router’s web interface via HTTPS. To do so I need to export a certificate from the router and import it to Firefox. Is my inability to do this merely because of the bug in question?

See also: *[https://bugzilla.mozilla.org/show_bug.cgi?id=1590217 Bug 1590217] — FF presents SSL Error: SEC_ERROR_INADEQUATE_KEY_USAGE

To import the file I opened Firefox’s Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

Try removing the certificate from the Authorities list — it does not seem to be valid for signing certificates. Instead, try importing it to the Servers list in that same Certificate Manager dialog.

Note: the result would be similar to what happens if you do not import manually, but instead you go to the page and it says «Warning: Potential Security Risk Ahead» and you click the Advanced button and create an exception using the «Accept the Risk and Continue» button.

To import the file I opened Firefox’s Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

For some reason I am having trouble quoting and reply to jscher2000. Here is my reply:

The instructions I followed were from the ASUS website, but for Windows 10 and Google Chrome. So I only followed:

Step 1: Go to Administration -> System tab.

Step 2: Download certificate: Click Export button, then you will get a file named cert.tar​.

Step 3: Unzip cert file (cert.crt)

To import the certificate into Firefox, I open up Preferences -> Privacy & Security -> Certificates -> View Certificates -> Authorities -> Import.

Hmm, where did the Import button go? I guess try adding an exception through the standard error page (the one you get without importing anything). Does that work?

I completely removed Firefox and all configuration files. After reinstalling Firefox and without importing the certificate this is what happens:

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

There is no option to Add Exception on this page.

After importing the certificate:

Error code: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

Further details of the error show: A certificate with a basic constraints extension with cA:TRUE is being used as an end-entity certificate.

I am not sure how to «Re-generate the end-entity certificate without the basic constraints extension» as suggested on the Mozilla Wiki.

Finally, in the Certification Manager I added an exception in the Servers tab. But this is only a temporary exception and I am not able to click Permanently store this exception.

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

I can’t test your device, but on the test page at https://self-signed.badssl.com/ , you usually can add an exception using this method:

click the Advanced button > click the Accept the Risk and Continue button

That creates a permanent exception by default. Perhaps there is some additional issue with your certificate that blocks that??

Joe Buckner [[#answer-1356256|said]]

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

That only creates a temporary exception for me. My guess is my operating system, Debian, makes some changes to the Firefox package.

That only creates a temporary exception for me. My guess is my operating system, Debian, makes some changes to the Firefox package.

You could take a look at this preference:

(1) In a new tab, type or paste about:config in the address bar and press Enter/Return. Click the button accepting the risk.

(2) In the search box in the page, type or paste certerr and pause while the list is filtered

(3) If the security.certerrors.permanentOverride preference has a value of false, double-click it to switch the value to true

Joe Buckner [[#answer-1356311|said]]

That only creates a temporary exception for me. My guess is my operating system, Debian, makes some changes to the Firefox package.

The security.certerrors.permanentOverride preference shows a value of true.

You can try to set security.enterprise_roots.enabled = true on the about:config page.

You can open the about:config page via the location/address bar. You can accept the warning and click «I accept the risk!» to continue.

You can try to set security.enterprise_roots.enabled = true on the about:config page. You can open the about:config page via the location/address bar. You can accept the warning and click «I accept the risk!» to continue.

• https://support.mozilla.org/en-US/kb/about-config-editor-firefox

Still produces the same error.

You can try to set security.enterprise_roots.enabled = true on the about:config page. You can open the about:config page via the location/address bar. You can accept the warning and click «I accept the risk!» to continue. *https://support.mozilla.org/en-US/kb/about-config-editor-firefox

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

I can’t test your device, but on the test page at https://self-signed.badssl.com/ , you usually can add an exception using this method:

click the Advanced button > click the Accept the Risk and Continue button

That creates a permanent exception by default. Perhaps there is some additional issue with your certificate that blocks that??

I found the issue with this solution. My preferences are set to permanent private browsing. With this preference it seems Firefox will only create a temporary exception.

So I set browsing preferences to default, created a permanent exception and then changed back to permanent private browsing. The exception remains permanent.

I am not technically proficient to know if this is a design bug or a security feature.

Final question. Is this solution to my problem (accessing my router’s web interface without the warning message) safer than simply the default HTTP access given that Firefox does not accept the certificate?

Joe Buckner [[#answer-1356256|said]]

Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT There is no option to Add Exception on this page.

I can’t test your device, but on the test page at https://self-signed.badssl.com/ , you usually can add an exception using this method: click the Advanced button > click the Accept the Risk and Continue button That creates a permanent exception by default. Perhaps there is some additional issue with your certificate that blocks that??

Yes, when you are in PB mode then you can only set a temporary exception and not a permanent exception. I remember that I had thought about posting this, but I had forgotten or otherwise had chosen not to mention this.

Chosen Solution

My preferences are set to permanent private browsing. With this preference it seems Firefox will only create a temporary exception. . I am not technically proficient to know if this is a design bug or a security feature.

Someone was very thorough in figuring out the unexpected locations on disk that URLs you visited during recent sessions might be discovered. 😉

Final question. Is this solution to my problem (accessing my router’s web interface without the warning message) safer than simply the default HTTP access given that Firefox does not accept the certificate?

There are two aspects:

(1) Verifying that the server is the one it says it is and not an impostor. This part fails when the certificate chain cannot be verified.

(2) Encrypting your session. This part is still useful if, for example, you are entering a password or other sensitive credentials. Using HTTPS prevents someone sniffing on the network from reading that.

Joe Buckner [[#answer-1356488|said]]

My preferences are set to permanent private browsing. With this preference it seems Firefox will only create a temporary exception. . I am not technically proficient to know if this is a design bug or a security feature.

Final question. Is this solution to my problem (accessing my router’s web interface without the warning message) safer than simply the default HTTP access given that Firefox does not accept the certificate?

Источник

Regarding this comment from the OP: » I’m trying to set up HTTPS for communication between a front end and back end API server that are on different computers on a network. That is why I was trying to generate a self signed certificate. Is there a more standard approach to this problem?»

You can use the script below to create a cert, import it to the trusted root store on the API server, and configure traffic over a given port to use the cert for encryption(SSL I think…). Then, from the cert management GUI (Manage Computer Certificates), you can export the cert you just created and import it into your front-end server.

Edited to reflect OP’s comment on pipeline output issues.

param(
    [string] $certPass,
    [string] $portForTraffic,
    [string] $dnsName = '<HOST>.<DOMAIN>.<DOMAIN_SUFFIX>', # <== ex: server.contoso.com 
    [int] $certValidForDays = 365
)

Set-StrictMode -Version Latest
$ErrorActionPreference = "Stop";
#Requires -Version 5.0

[string] $certStoreLocation = 'Cert:LocalMachine'

function CreateSelfSignedCert(
    [Parameter(Mandatory=$true)]
    [string] $dnsName,

    [Parameter(Mandatory=$false)]
    [string] $storeLocation = $certStoreLocation,

    [Parameter(Mandatory=$false)]
    [int] $certValidDays = $certValidForDays
){    
    $certificate = New-SelfSignedCertificate `
        -DnsName $dnsName `
        -CertStoreLocation "$storeLocationMy" `
        -NotAfter $((Get-Date).AddDays($certValidDays)) `
        -Verbose

    $certThumbPrint = $certificate.Thumbprint

    $returnObj = [PSCustomObject] @{
        ThumbPrint = $certThumbPrint;
    }
    return $returnObj;
}

function ExportCert(
    [Parameter(Mandatory=$true)]
    [string] $certThumbPrint,

    [Parameter(Mandatory=$true)]
    [string] $certPass,

    [Parameter(Mandatory=$true)]
    [string] $workDir,

    [Parameter(Mandatory=$false)]
    [string] $storeLocation = $certStoreLocation
){    
    $certificatePath = "$storeLocationMy$certThumbPrint"
    $secureString = ConvertTo-SecureString -String $certPass -Force -AsPlainText

    $tempDir = "$workDirpfx_temp"
    $pfxFilePath = "$tempDirtemp.pfx"    
    if( (Test-Path -Path $tempDir) -eq $false ){
        New-Item -ItemType Directory -Path $tempDir -Verbose | Out-Null
    }
    # ...so export it...
    $fileInfo = Export-PfxCertificate `
        -FilePath $pfxFilePath `
        -Cert $certificatePath `
        -Password $secureString `
        -Verbose
    Write-Host "$fileInfo"
    
    return $pfxFilePath
}

function ImportCertToRoot(
    [Parameter(Mandatory=$true)]
    [string] $pfxPath,

    [Parameter(Mandatory=$true)]
    [string] $certPass,

    [Parameter(Mandatory=$false)]
    [string] $storeLocation = $certStoreLocation
) {
    $secureString = ConvertTo-SecureString -String $certPass -Force -AsPlainText
    Write-Host "Attempting to import cert from: $pfxPath"
    Import-PfxCertificate `
        -FilePath $pfxPath `
        -CertStoreLocation "$storeLocationRoot" `
        -Password $secureString `
        -Verbose | Out-Null
    
    Remove-Item -Path $pfxPath -Force -Verbose
}

function ConfigureSslForPortOnHost(
    [Parameter(Mandatory=$true)]
    [string] $port,

    [Parameter(Mandatory=$true)]
    [string] $certThumbPrint
) {
    Write-Host -ForegroundColor Yellow "Attempting to add ssl rule using NETSH. Using cert with thumbprint: $($certThumbPrint)"
    
    Invoke-Expression "netsh http delete sslcert ipport=0.0.0.0:$port"
    Invoke-Expression "netsh http add sslcert ipport=0.0.0.0:$port appid='{214124cd-d05b-4309-9af9-9caa44b2b74a}' certhash=$($certThumbPrint)"    
}

# Create a self-signed cert
$cert = CreateSelfSignedCert -dnsName $dnsName

# Export the cert so we can later import it to the root store
$pfxPath = ExportCert -certThumbPrint $cert.ThumbPrint -certPass $certPass -workDir $PSScriptRoot

# Import cert to trusted root
ImportCertToRoot -pfxPath $pfxPath -certPass $certPass

# Ensure HTTP traffic to specified port on API server is encrypted
ConfigureSslForPortOnHost -port $portForTraffic -certThumbPrint $cert.ThumbPrint

Во время попытки перехода на какой-либо сайт, вы можете столкнуться с сообщением «Ошибка при установлении защищённого соединения». Вы не сможете открыть ресурс, пока проблема, вызывающая ошибку, не будет устранена. В некоторых случаях можно избавиться от неё самостоятельно, а в некоторых придётся обращаться к владельцам сайта.

Из-за чего возникает ошибка

Каждый раз, когда вы открываете какой-либо сайт, браузер Firefox обращается к нему с просьбой предоставить сертификат безопасности. Данный электронный документ подтверждает, что сайт работает по определённым правилам, которые позволяют обеспечить вашу безопасность. Если у сайта нет определённого сертификата, уровень безопасности на нём крайне низкий: вашу личную информацию могут перехватить злоумышленники и использовать её в своих целях.

Если во время проверки сайта браузер замечает, что с сертификатом что-то не то, он выдаёт описываемую ошибку. Она должна уведомить вас о подозрительности ресурса и оградить от него. В большинстве случаев вам стоит прислушаться к мнению Firefox и покинуть ресурс.

Но бывают ситуации, в которых браузер выдаёт уведомление ошибочно. Допустим, если вы переходите на достаточно известный сайт (например, Google, Yandex, Facebook и т. д.) и видите эту ошибку, то причина явно не в ресурсах, а в браузере. Проблема с определением сертификата может возникнуть по нескольким причинам:

• истёк срок лицензии сертификата. У сайта может быть нужный сертификат, но срок его актуальности мог подойти к концу. За этим должен следить владелец сайта;
• неправильно время на компьютере. Браузер сверяет срок лицензии документа со временем, установленным на компьютере. Если даты, предоставленные в сертификате и в памяти компьютера не совпадают, Firefox ошибочно посчитает документ просроченным;
• версия браузера устарела. В старой версии Firefox могут содержаться ошибки, которые не дают получить истинную информацию о сертификате;
• база данных браузера повреждена. Какой-нибудь вирус или неаккуратные действия пользователя могли повредить файлы, ответственные за проверку сертификата;
• антивирусы. Сторонние антивирусы могут вмешиваться в работу браузера, вызывая подобные ошибки.

Устраняем ошибку

Причины, по которым может возникнуть ошибка, прерывающая доступ к сайту, делятся на два типа: одни возникли по вине владельца ресурса, а вторые — из-за сбоя на компьютере.

По вине владельца сайта

Проблема по вине людей, обслуживающих сайт, может возникнуть по следующим причинам:

• сертификат не установлен;
• используется лицензия, срок актуальности которой истёк (SEC_ERROR_EXPIRED_CERTIFICATE);
• используется сертификат, потерявший свою актуальность;
• автор используемого сертификата неизвестен (MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED или MOZILLA_PKIX_ERROR_MITM_DETECTED);
• возникает ошибка при построении цепочки сертификатов (SEC_ERROR_UNKNOWN_ISSUER);
• сертификат активируется только с определённого числа, но на момент перехода он является нерабочим (SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE).

Если вы уверены, что причина появления ошибки в какой-то из вышеперечисленных причин, то остаётся один выход — писать владельцам или разработчикам сайта, уведомляя их о наличии проблемы. Убедиться в том, что данная ошибка возникла не по вине вашего компьютера или Firefox можно, если попробовать перейти на сайт с другого устройства и через другой браузер.

По вине компьютера

Если сайт не открывается только на вашем компьютере или только в Firefox, то причина кроется в браузере или сторонних антивирусах. Если вы не знаете, из-за чего именно появилось данное уведомление, то выполните все нижеописанные инструкции поочерёдно.

Неправильное время

Браузер не сможет сверить актуальность сертификата, если на компьютере установлено неправильное время. Поэтому необходимо вручную изменить настройки даты. Можно узнать точное время с помощью часов или другого устройства, но лучше сразу активировать автоматическую сверку времени с интернетом, чтобы обеспечить максимальную точность и больше не сталкиваться с этой проблемой:

1. В нижнем правом углу есть блок с датой и временем. Кликните по нему правой клавишей мыши и в появившемся контекстном меню выберите пункт «Настройка даты и времени».

   

   Открываем параметры даты и времени

2. Найдите строку «Установить время автоматически» и активируйте данную функцию. Готово, через несколько секунд, при наличии подключения к интернету, установится актуальное время. Перезагрузите браузер и попробуйте снова перейти на сайт.

   

   Включаем функцию «Установить время автоматически»

Устаревший браузер

Возможно, создатель сайта установил последнюю версию сертификата, о которой ещё не знает Firefox, так как браузер давно не устанавливал обновления. Чтобы он получил актуальную информацию о новых сертификатах, необходимо загрузить обновления вручную:

1. Разверните меню браузера. Отыщите строку «Справка» и наведите на неё мышь. В открывшемся меню выберите раздел «О Firefox».

   

   Открываем раздел «О браузере»

2. Раскроется окошко с информацией о браузере. Если на данный момент доступны обновления, начнётся их автоматическая загрузка. После окончания процесса скачивания кликните по кнопке «Применить обновления».

   

   Нажимаем кнопку «Получить обновления»

3. Разрешите установку последней версии.

   

   Разрешаем установку новой версии

Готово, браузер будет обновлён до последней версии. Попробуйте перейти на сайт, чтобы проверить, пропала ли ошибка.

Повреждённая база сертификатов

Чтобы ускорить процесс проверки сертификата сайта, браузер один раз загружает базу всех разрешённых сертификатов, а после работает с ней. Поскольку база хранится в памяти компьютера, а не на сервере разработчиков Firefox, проверка осуществляется намного быстрее. Но файл с базой данных может повредиться из-за вируса, действий пользователя или вмешательства каких-либо сторонних программ.

Если база повреждена, настоящие сертификаты могут ошибочно распознаваться как поддельные. Чтобы восстановить базу, выполните следующие шаги:

1. Закройте браузер. Зажмите комбинацию Win+R на клавиатуре, чтобы открыть окошко быстрого доступа. Пропишите значение %APPDATA%MozillaFirefoxProfiles и выполните команду, кликнув по кнопке «ОК».

   

   Открываем раздел %APPDATA%MozillaFirefoxProfiles» class=

2. Откроется список профилей, созданных в браузере. Если вы не создавали вручную дополнительные профили, у вас будет всего одна папка. По умолчанию она названа default. Откройте её.
3. Отыщите файл cert9.db. Он содержит базу данных. Удалите его, выделив и нажав кнопку Delete.

   

   Находим файл cert9.db и стираем его

После повторного запуска браузера, база данных создастся автоматически. Если проблема была в ней, то, перейдя на тот же самый сайт, вы не увидите ошибки.

Конфликт с антивирусом

Некоторые антивирусы проверяют сертификаты сайтов, несмотря на то, что это уже сделал сам браузер. Возможно, именно их вмешательство заставляет браузер подумать, что кто-то вмешивается в процесс проверки сертификата, а это нарушает принципы безопасности, поэтому процесс сверки сертификата прерывается.

Чтобы убедиться в том, виноват антивирус или нет, нужно закрыть браузер, отключить антивирус, открыть браузер и снова попытаться перейти на сайт.

Если проблема исчезла, антивирусу стоит запретить вмешиваться в проверку сертификатов. Сделать это можно через настройки программы. Рассмотрим шаги на примере антивируса Avast:

1. Перейдите к настройкам антивируса, выбрав соответствующий пункт в левой части окна.

   

   Открываем раздел «Настройки»

2. Раскройте подраздел «Компоненты». Отыщите в списке блок «Веб-экран» и кликните по кнопке «Настройки», находящейся напротив него.

   

   Открываем настройки веб-экрана

3. Снимите галочку с пункта «Включить сканирование HTTPS».

   

   Снимаем галочку с «Включить сканирование HTTPS»

Готово, теперь антивирус не будет вмешиваться в проверку сертификатов. Ошибка в Firefox должна исчезнуть.

Видео: устранение ошибки защищённого доступа

Как обойти ошибку

Если ни один из вышеперечисленных способов не помог, а доступ к сайту вам получить надо, ошибку можно обойти. Но делать это стоит только в том случае, если вы уверены в безопасности ресурса. Игнорируя предупреждение, вы берёте ответственность на себя.

1. На экране с ошибкой кликните по кнопке «Дополнительно», а после перейдите к созданию исключения.
2. Установите галочки напротив всех строк и подтвердите действие. Готово, исключение будет создана. Это значит, что данный сертификат в будущем будет считаться безопасным, и браузер откроет сайт.

   

   Выдаем сертификату права и подтверждаем действие

Ошибка безопасного соединения появляется из-за проблем с сертификатом сайта. Причина возникновения проблемы может заключаться как в сайте, так и в вашем компьютере. Если она возникла по вине сайта, то единственный выход — обращаться к владельцам ресурса. Если же причина в устройстве, то нужно выставить правильное время, проверить базу данных, обновить браузер и настроить антивирус.

How to Get Rid of ‘Warning: Potential Security Risk Ahead with MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT” Error in Firefox?

“MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT” error indicates that the website you are trying to reach is using a self-signed SSL/TLS certificate. These type of SSL/TLS certificates are highly unsecured. None of the browsers, including Mozilla Firefox, trust a self-signed certificate and hence, show a “MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT” error.

If you’re a website owner, remove the self-signed certificate from your server and get a publicly trusted certificate authority (CA)’s SSL certificate ASAP. It starts from $10/year and includes a $50,000 warranty.

If you’re a website visitor, you can apply the following methods to get rid of the “MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT” error in Firefox. You don’t need to follow all the steps, though. Follow one-by-one steps, until you fix the error.

1. Continue With an Insecure Connection

You can continue with the insecure connection at your own risk:

• Click on Advanced.
• Click on Accept the Risk and Continue.

Note: If you don’t see this option, move on to the next solution.

2. Add the Site to Your List of Trusted Sites

• Search for Internet Options in the Windows search bar.
• In the pop-up window, click on the Security tab.
• Select Trusted sites.
• Click on the Sites button to open a new window.
• Manually add the URL of the website that is displaying the error message.
• Click Apply and OK.

3. Temporarily Disable Your Antivirus and Firewall

Some antivirus and firewall solutions are sensitive to SSL errors. To address this issue, all you need to do is turn off HTTPS scanning. All antiviruses have different SSL scanning under different names. Find the appropriate setting such as “HTTPS Scanning,” “Scan SSL”, “show safe result,” “Do not scan encrypted connections,” etc.,and disable it.

If you don’t see any such options, visit the manufacturer’s help section and try to find SSL- and HTTPS-related settings information there.

4. Clear the SSL State

• Search for Internet Options in the Windows search bar.

• In the pop-up window, select the Content tab.
• Click on Clear SSL State to clear your SSL cache.

5. Clear Your Browsing History

• Open Firefox and navigate to Options in the top-right drop-down menu.
• Go to Privacy and Security from the menu bar on the left side.
• Click on Clear Data in the Cookies and Site Data section.
• Select Clear History.
• Select all the options and click on Clear Now.

6. Permit Firefox to Trust Root Authorities

Firefox has an optional feature that allows the browser to trust root authorities in the Windows certificate store. To activate this feature, you must enable the setting in your browser.

• Type “about: config” into the Firefox address bar.
• Press the I accept the risk! button.
• Search for security.enterprise_roots.enabled.

• In the security.enterprise_roots.enabled window, look to the right side of the screen. If the value is False, double-click on it. The value will get changed to True.
• Restart Firefox.
• If you still see the error message, move to the next solution.

7. Change Your Security Settings

• Type Command Prompt or CMD into the Windows search bar.
• Right-click on Command Prompt and select Run as Administrator.

Type in these three commands, hitting Enter after each one:

Regsvr32 softpub.dll

Regsvr32 Wintrust.dll

Regsvr32 Wintrust.dll

• Reboot your computer. The changes will be saved.

What Is an S/MIME Certificate and How Does It Work?

Troubleshooting Guides

• How to Resolve SSL_ERROR_RX_RECORD_TOO_LONG as a Site Visitor
• How to Fix the ERR_SSL_PROTOCOL_ERROR in 8 Easy Steps (2020 Edition)

Сообщение «Ошибка при установлении защищенного подключения» может появляться в двух случаях: когда вы переходите на защищенный сайт и, соответственно, при переходе на незащищенный сайт. Оба типа проблемы мы и рассмотрим ниже.

Как устранить ошибку при переходе на защищенный сайт?

В большинстве случаев пользователь сталкивается с ошибкой при установлении защищенного подключения при переходе на защищенный сайт.

О том, что сайт защищен, пользователю может говорить «https» в адресной строке перед названием самого сайта.

Если вы столкнулись с сообщением «Ошибка при установлении защищенного соединения», то под ним вы сможете увидеть разъяснение причины возникновения проблемы.

Причина 1: Сертификат не будет действителен до даты [дата]

При переходе на защищенный веб-сайт Mozilla Firefox в обязательном порядке проверяет у сайта наличие сертификатов, которые позволят быть уверенным в том, что ваши данные будут передаваться только туда, куда они были предназначены.

Как правило, подобного типа ошибка говорит о том, что на вашем компьютере установлены неправильные дата и время.

В данном случае вам потребуется изменить дату и время. Для этого щелкните в правом нижнем углу по иконке даты и в отобразившемся окне выберите пункт «Параметры даты и времени».

На экране отобразится окно, в котором рекомендуется активировать пункт «Установить время автоматически», тогда система самостоятельно установит верные дату и время.

Причина 2: Сертификат истек [дата]

Эта ошибка как также может говорить о неправильно установленном времени, так и может являться верным знаком того, что сайт все-таки вовремя не обновил свои сертификаты.

Если дата и время установлены на вашем компьютере, то, вероятно, проблема в сайте, и пока он не обновит сертификаты, доступ к сайту может быть получен только путем добавления в исключения, который описан ближе к концу статьи.

Причина 3: к сертификату нет доверия, так как сертификат его издателя неизвестен

Подобная ошибка может возникнуть в двух случаях: сайту действительно не стоит доверять, или же проблема заключается в файле cert8.db, расположенном в папке профиля Firefox, который был поврежден.

Если вы уверены в безопасности сайта, то, вероятно, проблема все же заключается в поврежденном файле. И чтобы решить проблему, потребуется, чтобы Mozilla Firefox создала новый такой файл, а значит, необходимо удалить старую версию.

Чтобы попасть в папку профиля, щелкните по кнопке меню Firefox и в отобразившемся окне щелкните по иконке со знаком вопроса.

В той же области окна отобразится дополнительное меню, в котором потребуется щелкнуть по пункту «Информация для решения проблем».

В открывшемся окне щелкните по кнопке «Показать папку».

После того, как на экране появится папка профиля, необходимо закрыть Mozilla Firefox. Для этого щелкните по кнопке меню браузера и в отобразившемся окне кликните по кнопке «Выход».

Теперь вернемся к папке профиля. Найдите в ней файл cert8.db, щелкните по нему правой кнопкой мыши и выберите пункт «Удалить».

Как только файл будет удален, можете закрыть папку профиля и снова запустить Firefox.

Причина 4: к сертификату нет доверия, т.к. отсутствует цепочка сертификатов

Подобная ошибка возникает, как привило, из-за антивирусов, в которых активирована функция SSL-сканирования. Перейдите в настройки антивируса и отключите функцию сетевого (SSL) сканирования.

Как устранить ошибку при переходе на незащищенный сайт?

Если сообщение «Ошибка при переходе на защищенное соединение» появляется, если вы переходите на незащищенный сайт, это может говорить о конфликте настроек, дополнений и тем.

Прежде всего, откройте меню браузера и перейдите к разделу «Дополнения». В левой области окна, открыв вкладку «Расширения», отключите максимальное количество расширений, установленных для вашего браузера.

Следом перейдите ко вкладке «Внешний вид» и удалите все сторонние темы, оставив и применив для Firefox стандартную.

После выполнения данных действий проверьте наличие ошибки. Если она осталась, попробуйте отключить аппаратное ускорение.

Для этого щелкните по кнопке меню браузера и перейдите к разделу «Настройки».

В левой области окна перейдите ко вкладке «Дополнительные», а в верхней откройте подвкладку «Общие». В данном окне вам потребуется снять галочку с пункта «По возможности использовать аппаратное ускорение».

Обход ошибки

Если вы так и не смогли устранить сообщение «Ошибка при установлении защищенного соединения», но при этом уверены в безопасности сайта, устранить проблему можно, обойдя настойчивое предупреждение Firefox.

Для этого в окне с ошибкой щелкните по кнопке «Или же вы можете добавить исключение», после чего кликните по появившейся кнопке «Добавить исключение».

На экране отобразится окно, в котором щелкните по кнопке «Получить сертификат», а затем кликните по кнопке «Подтвердить исключение безопасности».

Видео-урок:

Надеемся данная статья помогла вам устранить проблемы в работе Mozilla Firefox.