FireFox 的安全认证
无法建立安全连接
当你的电脑和网站试图建立安全(https)交流时,Firefox会交叉检查这种尝试以确保网站证书和网站使用的方法确实是安全的。如果Firefox无法建立安全连接,它会显示一个错误页面。
网站问题
有些网站试图使用过时的(不再安全的) TLS 机制来尝试安全连接。如果安全连接的建立有问题,Firefox会通过阻止对该类网站的访问来保护你。此时,你会看到一个带有安全连接错误信息的错误页面。 如果你遇到此问题,请联系网站拥有者并要求他们把 TLS 升级到一个当下仍然安全的版本。
证书问题
证书绑定报告
HTTP 公钥钉扎 (HPKP)是一个安全功能,它能够阻止攻击者使用伪造或错误的证书来冒充某个网站。这项功能允许网站经营者明确地指出谁可以为它们签发有效的证书,而不是随意接受浏览器内置的数百个根证书之一。
如果出现公钥钉扎错误,是怎么回事?
如果网站使用公钥钉扎,而其证书链和公钥钉扎不匹配,Firefox 会拒绝连接并显示错误信息,
该服务器使用了公钥钉扎(HPKP),但是其证书链和公钥钉扎不匹配。公钥钉扎不能忽略。
错误码:MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE。
证书内容
安全网站的证书
序列号:标识该证书的唯一序列号。
主题:标识该证书的所有者,例如拥有该证书的组织名称。
发行者:标识颁发该证书的实体。
主题备用扩展名称:列出该证书可以标识的网站地址列表。
签名:验证该证书确实来自发行者的数据。
签名算法:创建签名使用的算法。
有效期起始:证书生效时间
有效期截止:证书过期时间。
证书用法和扩展密钥用法:指定该证书可用于的用途,例如确认网站的持有者(Web 服务器身份验证)。
公钥:公/私密钥对的公开部分。公钥与私钥在数学意义上相关联,使用公钥加密的数据只能被对应的私钥解密。
公钥算法:创建公钥使用的算法。
指纹:公钥的缩写形式。
指纹算法:创建指纹使用的算法。
安全警告码
当 Firefox 连接到一个安全的网站时(网址最开始为“https://”),它必须确认该网站出具的证书有效且使用足够高的加密强度,以充分保护您的隐私。如果无法验证,Firefox 会中止连接到这个网站,并向您显示错误信息页面:警告:有风险。
MOZILLA_PKIX_ERROR _ADDITIONAL_POLICY_CONSTRAINT_FAILED
此错误代表网站的证书没有遵循 Mozilla CA 证书计划 中要求的安全政策。大多数浏览器,包括 Firefox,都不信任来自 GeoTrust、RapidSSL、Symantec、Thawte 和 VeriSign 的证书,因为它们过去都没有遵守证书机构的安全纪律。网站主人应该和证书机构一起解决政策性问题。Mozilla CA 证书计划公布了一个影响证书机构的政策活动列表,其中包含了网站主人需要了解的一些细节。
SEC_ERROR_UNKNOWN_ISSUER
由于证书发布者未知,所以该证书不可信。
服务器可能没有发送适当的中间证书。
可能会需要倒入一个额外的根证书。
MOZILLA_PKIX_ERROR_MITM_DETECTED
由于证书发布者未知,所以该证书不可信。
服务器可能没有发送适当的中间证书。
可能会需要倒入一个额外的根证书。
ERROR_SELF_SIGNED_CERT
该证书由于是自签名证书而不可信。
SSL_ERROR_BAD_CERT_DOMAIN
由于网站使用的证书并不是该网站的有效证书,所以 Firefox 认为网站不可信。通过该网站发送信息可能会有风险,因此你最好联系网站主人先修复问题。