使用孩子的帐户访问信誉良好的HTTPS网站时，Firefox出现“不受信任的连接”警告

47

在Windows上使用Firefox时，访问任何HTTPS网站（包括信誉良好的网站，例如https://www.google.com和https://search.yahoo.com）时，都会看到“不受信任的连接”警告。警告消息显示：

技术细节

search.yahoo.com使用了无效的安全证书。

该证书不受信任，因为未提供颁发者链。

（错误代码：sec_error_unknown_issuer）

这尤其令人讨厌，因为搜索栏不起作用。

这似乎只在启用家庭安全功能的Windows 8.1儿童帐户上发生。发生了什么，我该如何解决？

— 200_成功
source

1

您的系统时钟可能不正确吗？检查您的日期/时间。即使您的系统认为它是2001年1月1日，并且使用的是HTTPS，并且您将在13年后加载证书，该证书也将无效。只是一个想法。

— 安德鲁

3

@Reeves这是不正确的。(Error code: sec_error_unknown_issuer)与证书过期不同。

— Ramchandra Apte 2014年

5

看到“不受信任的连接”警告时，为什么不检查证书？“ google.com ”并不意味着您尝试连接的网站信誉良好。这就是SSL的意义所在。

— el.pescado 2014年

请添加家庭安全标签。

— Ed Randall

@EdRandall 1. Stack Exchange每个问题只允许五个标签。2.家庭安全恰好是答案的一部分，但显然不是问题的一部分。

— 200_success 2015年

79

由于HTTPS旨在防止侦听，因此，除非Microsoft Family Safety执行本质上是中间人攻击，否则它将无法监视加密的流量。它通过使用Microsoft自己的密钥对通信进行解密和重新加密来实现此目的。当然，这种篡改并不会被忽视。Firefox忠实地将中间人计划报告为可疑活动。

要同意这种侦听并抑制此方案引起的所有“不受信任的证书”警告，您需要指示Firefox信任用于重新加密的Microsoft SSL证书。（Microsoft Internet Explorer没有此“问题”，因为它开箱即用地信任Microsoft的证书。GoogleChrome浏览器是相同的，因为它依赖于Windows内置的加密机制。但是，Firefox使用自己的加密例程来查询受信任的根证书的单独列表。）

您需要导入的证书是Microsoft的。转到控制面板→网络和Internet→Internet选项→内容→证书→受信任的根证书颁发机构。选择Microsoft家庭安全证书，然后单击Export…。回答否，不要导出私钥。两种.CER格式中的任何一种都可以。将其保存到任何方便的临时位置，例如familysafety.cer在桌面上。

然后，您需要告诉Firefox信任刚刚导出的证书。在Firefox菜单中，选择选项→高级→证书→查看证书→权限→导入…。选择familysafety.cer您刚刚保存的。选择“ 信任此CA以标识网站”，然后单击“ 确定”，然后关闭“选项”对话框。

当访问“家庭安全”下知名的，配置正确的网站时，您不应再收到“不受信任的证书”警告。

或者，您可以禁用家庭安全，或仅禁用活动报告功能。您可以在控制面板→用户帐户和家庭安全→为任何用户设置家庭安全下进行操作。如有必要，请以管理员身份进行身份验证，然后选择要在其上禁用该功能的子帐户。

— 200_成功
source

14

因此，Windows具有一种内置的方式来使MITM打败https...。我确信MS的Internet Explorer毫无疑问地信任MS并且不会发出警告。我认为对父母和哥哥大

— 有好处

5

公平地说，它不是“内置”的，因为您必须先安装/启用“家庭安全”功能。在这里，希望在线监控和保护孩子的父母可以这样做。

— phyrfox

4

@ Xen2050并不是在一个假设的场景中“不会有麻烦”-答案表明，开箱即用的IE默认配置已经确实信任那些MS证书，并且如果MITM在途中某处使用了它们，则不会发出任何警告。

— Peteris 2014年

2

如果我从支持家庭安全的计算机上访问google.com，但有人（不是家庭安全）加入了该连接，浏览器是否会通知我？

— 亚历山大

3

@DavidZ有一个简单的测试。允许家庭安全证书，然后转到具有故意错误证书的revoked.grc.com。老实说，如果“家庭安全”没有使用Windows证书存储，我会感到非常惊讶。设计一个可以保护儿童计算机安全的应用程序，但让他们使用带有无效证书的网站将是明智的。

— 2014年

2

我还认为这是我升级到Windows 10时遇到的问题，但事实证明是Avast。

如果要测试一下

Avast：打开Avast->设置-> Active Protection-> Web Shield（单击自定义）-> 取消选中启用HTTPS扫描。

Firefox：打开Firefox，转到https://www.google.com并查看页面是否显示。

如果您在Firefox中浏览时很高兴关闭HTTPS扫描，则无需再做。

...

但是，如果您担心并希望HTTPS扫描再次起作用，则需要使Firefox信任Avast的Web证书，该证书会修改来自https站点（例如google）的内容，因为它会检查安全流中是否存在潜在有害内容。为此，请按照以下步骤操作：

Windows：打开运行命令->键入mmc，然后单击确定->单击文件->添加/删除管理单元->证书->添加->我的用户帐户->完成->确定

展开证书-当前用户->受信任的根证书颁发机构->证书

您应该看到avast！Web / Mail Shield Root的两个证书，右键单击下方的证书，然后选择“所有任务”->“导出”

在出现的向导中，单击下一步->选择DER编码的二进制X.509（.CER），然后单击下一步->单击浏览，然后使用文件名avast.cer将文件保存到桌面->单击下一步->单击完成->您应该会收到一条消息，说明导出成功

Firefox：打开Firefox->单击三个水平线，然后选择选项->高级->证书->查看证书->导入-> 从桌面上选择avast.cer- >选中前两个框，然后单击确定->确定- >关闭Firefox

Avast：打开Avast->设置-> Active Protection-> Web Shield（单击自定义）-> 勾选启用HTTPS扫描

Firefox：打开Firefox，说https://www.google.com，然后页面应显示

— 戴夫·约翰逊（Dave Johnson）
source

Mac用户可以在此处了解如何导出avast证书：racf.bnl.gov/docs/howto/grid/osxcertmgmt

— Christopher Rapcewicz

1

我知道这是一篇过时的文章，但是根据我的经验，这个问题的另一个答案是Avast防病毒软件使用任何类型的安全连接来执行此操作。Google，Youtube，Steam或其他您看到“ https：\”的地方

直到开始监视无效的详细信息，并将Avast视为证书颁发机构，我才意识到这一点。我卸载了Avast，并使用了其他防病毒软件。那为我解决了这个问题。

— 科里
source

1

在Windows 10上，我根本找不到合适的控制面板，然后是证书管理器。它已隐藏在笨拙的控件UI之外。我发现最快的方法是：

在开始菜单上为“运行...”创建快捷方式： 开始>所有应用> W> Windows系统>运行>固定到开始
按下新的“运行...”按钮，然后输入“ certlm.msc ”
当出现“证书-本地计算机”窗口时，在“ 包含 ”框中，依次单击“ 操作”>“查找证书... ”，然后键入“ 家庭 ”。
右键单击Microsoft家庭安全证书，然后选择“ 导出... ”，现在基本上按照上述@ 200_success中的步骤进行操作；使用默认值（无私钥，DER格式，将其保存在方便的位置）导出证书。
现在，针对他们使用的每台计算机上的每个孩子，登录并将证书导入Firefox。 Firefox>选项>高级>证书>查看证书>权限标签>导入...，然后选择您之前保存的文件。 当然，有一种方法可以对计算机上的所有Firefox用户执行一次吗？

— 埃德·兰德尔
source