سطح: مقدماتی تا متوسط | مناسب برای: کاربران Firefox، مدیران سایت، مدیران هاست، صاحبان فروشگاه اینترنتی، توسعهدهندگان وب و افرادی که هنگام باز کردن سایتهای HTTPS با هشدار امنیتی مواجه میشوند
وقتی در مرورگر Firefox وارد یک سایت HTTPS میشوید، مرورگر فقط صفحه را باز نمیکند؛ بلکه ابتدا گواهی SSL/TLS سایت را بررسی میکند تا مطمئن شود اتصال امن، معتبر و قابل اعتماد است. اگر فایرفاکس نتواند اعتبار گواهی را تأیید کند، یا تشخیص دهد اتصال بهاندازه کافی امن نیست، ممکن است صفحهای با پیامهایی مثل Warning: Potential Security Risk Ahead یا Secure Connection Failed نمایش دهد.
این خطاها همیشه به یک دلیل واحد رخ نمیدهند. گاهی مشکل از تاریخ و ساعت سیستم کاربر است، گاهی گواهی SSL سایت منقضی شده، گاهی دامنه با گواهی مطابقت ندارد، گاهی CA Bundle روی سرور ناقص نصب شده، و گاهی هم نرمافزارهای امنیتی یا آنتیویروسها با اسکن HTTPS باعث ایجاد خطای امنیتی میشوند.
در این مقاله، مهمترین کدهای خطای SSL در فایرفاکس را بررسی میکنیم، معنی هر خطا را توضیح میدهیم و میگوییم چه زمانی مشکل از سیستم کاربر است و چه زمانی مدیر سایت باید تنظیمات SSL، DNS، سرور یا گواهی امنیتی را اصلاح کند.
اگر ابتدا میخواهید با مفهوم گواهی امنیتی و HTTPS آشنا شوید، مقاله SSL چیست؟ را بخوانید. اگر هم خطا بعد از تغییر دامنه، هاست یا رکوردهای DNS ایجاد شده، مقاله DNS چیست؟ میتواند کمک کند ریشه مشکل را بهتر پیدا کنید.
فهرست مطالب
- چرا فایرفاکس خطای SSL نشان میدهد؟
- مشکل از سیستم کاربر است یا از سایت؟
- خطای SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
- خطای SEC_ERROR_EXPIRED_CERTIFICATE
- خطای SEC_ERROR_UNKNOWN_ISSUER
- خطای MOZILLA_PKIX_ERROR_MITM_DETECTED
- خطای ERROR_SELF_SIGNED_CERT
- خطای SSL_ERROR_BAD_CERT_DOMAIN
- خطای SEC_ERROR_OCSP_INVALID_SIGNING_CERT
- خطای SSL_ERROR_UNSUPPORTED_VERSION
- خطاهای HSTS در Firefox
- خرابی Certificate Store یا فایل cert9.db
- اگر مدیر سایت هستید چه چیزهایی را بررسی کنید؟
- اگر کاربر سایت هستید چه کار کنید؟
- چه زمانی نباید از هشدار SSL عبور کنیم؟
- سوالات متداول
چرا فایرفاکس خطای SSL نشان میدهد؟
فایرفاکس هنگام اتصال به سایتهای HTTPS چند موضوع را بررسی میکند:
- آیا گواهی SSL سایت معتبر است؟
- آیا گواهی منقضی نشده است؟
- آیا گواهی برای همان دامنه صادر شده است؟
- آیا صادرکننده گواهی یا CA مورد اعتماد مرورگر است؟
- آیا زنجیره گواهی یا CA Bundle کامل است؟
- آیا نسخه TLS و الگوریتمهای رمزنگاری امن هستند؟
- آیا اتصال توسط نرمافزار، آنتیویروس یا شبکه دستکاری نشده است؟
اگر یکی از این بررسیها با شکست مواجه شود، Firefox ممکن است اتصال را متوقف کند. در بعضی خطاها میتوانید با پذیرش ریسک وارد سایت شوید، اما در بعضی موارد، مخصوصاً زمانی که سایت HSTS فعال دارد، فایرفاکس اجازه عبور از خطا را نمیدهد.
برای جزئیات رسمیتر درباره معنی این کدها، میتوانید راهنمای Mozilla درباره رفع کدهای خطای امنیتی در سایتهای امن را هم بررسی کنید.
مشکل از سیستم کاربر است یا از سایت؟
قبل از اینکه سراغ راهکارهای پیچیده بروید، باید مشخص کنید خطا فقط روی سیستم شما دیده میشود یا برای همه کاربران وجود دارد.
| نشانه | احتمال بیشتر | اقدام پیشنهادی |
|---|---|---|
| فقط روی یک سیستم خطا میبینید | مشکل تاریخ سیستم، کش، آنتیویروس یا Certificate Store | تاریخ سیستم، آنتیویروس، پروفایل Firefox و cert9.db را بررسی کنید |
| روی همه مرورگرها و دستگاهها خطا وجود دارد | مشکل از SSL سایت یا سرور | گواهی، CA Bundle، دامنه، DNS و تنظیمات سرور بررسی شود |
| فقط روی Firefox خطا دیده میشود | سختگیری Firefox، Certificate Store یا تنظیمات امنیتی | پروفایل Firefox، cert9.db و خطای دقیق بررسی شود |
| بعد از تغییر هاست یا DNS خطا ایجاد شده | گواهی روی سرور جدید نصب نیست یا دامنه به IP اشتباه میرود | DNS، SSL و IP مقصد بررسی شود |
اگر مدیر سایت هستید، فقط به مرورگر خودتان اکتفا نکنید. سایت را با چند مرورگر، چند دستگاه و ابزارهای SSL Checker بررسی کنید.
خطای SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
این خطا معمولاً به این معنی است که گواهی صادرکننده یا بخشی از زنجیره گواهی، از نظر زمانی معتبر نیست یا تاریخ سیستم شما باعث شده مرورگر اعتبار آن را اشتباه تشخیص دهد.
نمونه پیام:
SEC_ERROR_EXPIRED_ISSUER_CERTIFICATEراهکارهای پیشنهادی:
- تاریخ و ساعت سیستم خود را بررسی و اصلاح کنید.
- اگر مدیر سایت هستید، زنجیره گواهی و CA Bundle را بررسی کنید.
- مطمئن شوید Intermediate Certificateها درست نصب شدهاند.
- اگر گواهی قدیمی است، آن را تمدید یا جایگزین کنید.
در بسیاری از موارد، اگر تاریخ سیستم کاربر اشتباه باشد، مرورگر گواهیهای سالم را هم نامعتبر تشخیص میدهد.
خطای SEC_ERROR_EXPIRED_CERTIFICATE
این خطا یعنی گواهی SSL خود سایت منقضی شده است. اگر گواهی SSL تمدید نشود، Firefox و سایر مرورگرها سایت را ناامن نمایش میدهند.
نمونه پیام:
SEC_ERROR_EXPIRED_CERTIFICATEاگر کاربر سایت هستید:
- تاریخ و ساعت سیستم خود را بررسی کنید.
- اگر تاریخ درست است، مشکل احتمالاً از سایت است.
- در سایتهای حساس، اطلاعات شخصی یا پرداخت وارد نکنید.
اگر مدیر سایت هستید:
- گواهی SSL را تمدید کنید.
- Auto-renewal را بررسی کنید.
- بعد از تمدید، وبسرور را reload یا restart کنید.
- نسخه www و non-www دامنه را تست کنید.
- اگر CDN یا Load Balancer دارید، SSL را روی همه لایهها بررسی کنید.
اگر میخواهید درباره انتخاب و تمدید گواهی بیشتر بدانید، مقاله چگونگی انتخاب گواهینامه SSL مناسب و صفحه گواهی SSL پویاسازان را هم بررسی کنید.
خطای SEC_ERROR_UNKNOWN_ISSUER
این خطا یعنی Firefox به صادرکننده گواهی اعتماد ندارد یا زنجیره گواهی کامل به مرورگر ارسال نشده است.
نمونه پیام:
SEC_ERROR_UNKNOWN_ISSUERدلایل رایج:
- گواهی توسط CA معتبر صادر نشده است.
- گواهی self-signed است.
- CA Bundle یا Intermediate Certificateها روی سرور ناقص نصب شدهاند.
- آنتیویروس یا فایروال سازمانی در حال اسکن HTTPS است.
- شبکه عمومی یا Captive Portal اتصال HTTPS را دستکاری میکند.
اگر فقط روی سیستم شما این خطا دیده میشود، آنتیویروس، پراکسی، VPN و تنظیمات شبکه را بررسی کنید. اگر برای همه کاربران رخ میدهد، احتمالاً مدیر سایت باید زنجیره گواهی را اصلاح کند.
خطای MOZILLA_PKIX_ERROR_MITM_DETECTED
این خطا زمانی دیده میشود که Firefox احتمال دهد اتصال امن شما توسط یک نرمافزار یا واسط بین راهی بررسی یا دستکاری میشود. MITM مخفف Man-in-the-Middle است.
نمونه پیام:
MOZILLA_PKIX_ERROR_MITM_DETECTEDدلایل رایج:
- فعال بودن HTTPS Scanning در آنتیویروسهایی مثل Avast، AVG، ESET، Kaspersky یا Bitdefender
- استفاده از پراکسی سازمانی که ترافیک HTTPS را بررسی میکند
- نصب شدن Root Certificate سازمانی یا نرمافزار امنیتی روی سیستم
- شبکه عمومی یا وایفای مشکوک
راهکارها:
- موقتاً HTTPS Scanning آنتیویروس را غیرفعال و دوباره تست کنید.
- اگر در شبکه سازمانی هستید، با مدیر شبکه هماهنگ کنید.
- Firefox را بهروز کنید.
- از شبکه امن و قابل اعتماد استفاده کنید.
- اگر مشکل بعد از نصب نرمافزار امنیتی شروع شده، تنظیمات آن را بررسی کنید.
در سایتهای حساس مثل بانک، پرداخت، ایمیل یا پنلهای مدیریتی، این خطا را جدی بگیرید و بدون اطمینان از علت، ادامه ندهید.
خطای ERROR_SELF_SIGNED_CERT
این خطا یعنی سایت از گواهی self-signed استفاده میکند؛ یعنی گواهی توسط یک مرجع معتبر عمومی صادر نشده و مرورگر بهصورت پیشفرض به آن اعتماد ندارد.
نمونه پیام:
ERROR_SELF_SIGNED_CERTگواهی self-signed ممکن است برای محیطهای داخلی، آزمایشگاهی، لوکال یا سرورهای خصوصی قابل قبول باشد، اما برای سایت عمومی مناسب نیست.
اگر کاربر سایت هستید:
- در سایت عمومی یا ناشناس از این خطا عبور نکنید.
- اطلاعات حساس وارد نکنید.
- اگر سایت داخلی سازمانی است، از مدیر سیستم درباره اعتبار گواهی سؤال کنید.
اگر مدیر سایت هستید:
- برای سایت عمومی، گواهی معتبر تهیه کنید.
- گواهی را برای دامنه درست صادر کنید.
- زنجیره گواهی را کامل نصب کنید.
- بعد از نصب، سایت را در چند مرورگر تست کنید.
برای محیط لوکال، self-signed قابل استفاده است؛ اما برای سایت اینترنتی، بهتر است از SSL معتبر استفاده شود.
خطای SSL_ERROR_BAD_CERT_DOMAIN
این خطا یعنی گواهی SSL برای دامنهای که در حال باز کردن آن هستید صادر نشده است.
نمونه پیام:
SSL_ERROR_BAD_CERT_DOMAINمثلاً ممکن است گواهی برای www.example.com صادر شده باشد، اما کاربر وارد example.com شود. یا گواهی برای دامنه دیگری روی سرور نصب شده باشد.
دلایل رایج:
- گواهی فقط نسخه www یا فقط نسخه non-www را پوشش میدهد.
- دامنه به IP یا سرور اشتباه اشاره میکند.
- روی هاست اشتراکی، SSL دامنه دیگری نمایش داده میشود.
- سابدامین با گواهی اصلی پوشش داده نشده است.
- Wildcard SSL درست انتخاب یا نصب نشده است.
راهکار مدیر سایت:
- DNS دامنه را بررسی کنید.
- گواهی را برای همه نامهای لازم صادر کنید.
- نسخههای www و non-www را بررسی کنید.
- در صورت نیاز از SAN یا Wildcard SSL استفاده کنید.
- تنظیمات VirtualHost، SNI، CDN و کنترل پنل را بررسی کنید.
برای درک بهتر رابطه دامنه و اتصال آن به سرور، مقاله DNS چیست؟ و مقاله هاست چیست؟ را ببینید.
خطای SEC_ERROR_OCSP_INVALID_SIGNING_CERT
این خطا معمولاً به بررسی وضعیت اعتبار گواهی از طریق OCSP مربوط است. OCSP مکانیزمی است که مرورگر با کمک آن میتواند وضعیت ابطال یا اعتبار گواهی را بررسی کند.
نمونه پیام:
SEC_ERROR_OCSP_INVALID_SIGNING_CERTدلایل احتمالی:
- پیکربندی اشتباه گواهی روی سرور
- مشکل در OCSP Stapling
- اشکال در زنجیره گواهی
- مشکل موقت سمت CA یا شبکه
اگر کاربر سایت هستید، معمولاً کار زیادی از سمت شما قابل انجام نیست؛ مگر اینکه خطا فقط روی سیستم شما باشد. اگر مدیر سایت هستید، باید تنظیمات SSL، CA Bundle و OCSP Stapling را بررسی کنید.
خطای SSL_ERROR_UNSUPPORTED_VERSION
این خطا معمولاً زمانی رخ میدهد که سایت از نسخه قدیمی و ناامن TLS استفاده میکند که Firefox دیگر آن را پشتیبانی نمیکند یا اجازه استفاده از آن را نمیدهد. Mozilla توضیح میدهد که این خطا برای سایتهایی رخ میدهد که با نسخه TLS پشتیبانینشده تلاش میکنند اتصال امن برقرار کنند. [oai_citation:2‡Mozilla Support](https://support.mozilla.org/en-US/kb/secure-connection-failed-firefox-did-not-connect?utm_source=chatgpt.com)
نمونه پیام:
SSL_ERROR_UNSUPPORTED_VERSIONراهکار مدیر سایت:
- TLS 1.2 و TLS 1.3 را فعال کنید.
- نسخههای قدیمی مثل TLS 1.0 و TLS 1.1 را غیرفعال کنید.
- وبسرور، کنترل پنل یا Load Balancer را بهروزرسانی کنید.
- تنظیمات cipher suite را بررسی کنید.
برای سایتهای عمومی، استفاده از پروتکلها و الگوریتمهای قدیمی میتواند هم امنیت و هم اعتماد کاربران را کاهش دهد.
خطاهای HSTS در Firefox
اگر سایتی HSTS فعال داشته باشد، Firefox ممکن است اجازه عبور از بعضی خطاهای SSL را ندهد. در این حالت ممکن است پیامهایی ببینید که میگویند سایت از HTTP Strict Transport Security استفاده میکند و امکان افزودن exception وجود ندارد.
HSTS به مرورگر میگوید سایت باید فقط از طریق HTTPS باز شود. بنابراین اگر گواهی سایت مشکل داشته باشد، مرورگر برای محافظت از کاربر اجازه ادامه نمیدهد. در MDN هم توضیح داده شده که HSTS باعث میشود مرورگر درخواستهای HTTP را به HTTPS ارتقا دهد و در اتصالهای آینده، امکان دور زدن خطاهای امنیتی مانند گواهی نامعتبر وجود نداشته باشد. [oai_citation:3‡MDN Web Docs](https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Strict-Transport-Security?utm_source=chatgpt.com)
اگر مشکل مربوط به سایت خودتان است، راهحل درست حذف HSTS از مرورگر کاربران نیست؛ باید SSL و تنظیمات سرور اصلاح شود. برای راهنمای کاملتر، مقاله آموزش غیرفعال کردن HSTS در مرورگرها را بخوانید.
خرابی Certificate Store یا فایل cert9.db
گاهی مشکل SSL در Firefox به خرابی Certificate Store پروفایل مرورگر مربوط است. در Firefox، فایل cert9.db اطلاعات مربوط به گواهیها را در پروفایل کاربر نگهداری میکند. اگر این فایل خراب شود، ممکن است خطاهای گواهی غیرعادی ببینید.
این روش را فقط بعد از بررسی موارد سادهتر انجام دهید:
- Firefox را باز کنید.
- در نوار آدرس وارد کنید:
about:support- در بخش Profile Folder روی Open Folder کلیک کنید.
- Firefox را کامل ببندید.
- در پوشه پروفایل، فایل
cert9.dbرا پیدا کنید. - برای احتیاط، ابتدا یک نسخه پشتیبان از آن بگیرید.
- فایل را حذف یا rename کنید.
- Firefox را دوباره اجرا کنید.
بعد از اجرای Firefox، این فایل دوباره ساخته میشود. اگر گواهیهای سفارشی یا سازمانی داشتهاید، ممکن است نیاز باشد دوباره آنها را اضافه کنید.
اگر مدیر سایت هستید چه چیزهایی را بررسی کنید؟
اگر کاربران سایت شما با خطاهای SSL در Firefox مواجه میشوند، این چکلیست را بررسی کنید:
| مورد بررسی | وضعیت مطلوب |
|---|---|
| تاریخ انقضای SSL | گواهی معتبر و منقضینشده باشد |
| دامنه گواهی | گواهی برای دامنه، www و سابدامینهای لازم صادر شده باشد |
| CA Bundle | زنجیره گواهی کامل نصب شده باشد |
| DNS | دامنه به IP یا سرور درست اشاره کند |
| SNI / VirtualHost | برای هر دامنه گواهی درست ارائه شود |
| TLS Version | TLS 1.2 و TLS 1.3 فعال باشند |
| HSTS | فقط بعد از اطمینان از سلامت SSL فعال شود |
| CDN / Proxy | SSL در همه لایهها درست تنظیم شده باشد |
اگر سایت روی هاست یا سرور شماست، انتخاب زیرساخت پایدار هم مهم است. برای بررسی گزینههای میزبانی، مقاله راهنمای جامع خرید هاست و صفحه هاست لینوکس پویاسازان میتواند مفید باشد.
اگر کاربر سایت هستید چه کار کنید؟
اگر فقط میخواهید یک سایت را باز کنید و خطای SSL در Firefox میبینید، این مراحل را به ترتیب انجام دهید:
- تاریخ و ساعت سیستم را بررسی کنید.
- سایت را در مرورگر دیگری تست کنید.
- اتصال اینترنت یا VPN را تغییر دهید.
- آنتیویروس یا HTTPS Scanning را موقتاً بررسی کنید.
- کش و دادههای سایت را پاک کنید.
- Firefox را بهروز کنید.
- اگر خطا فقط در Firefox است، پروفایل یا cert9.db را بررسی کنید.
- اگر سایت حساس است، از وارد کردن اطلاعات شخصی خودداری کنید.
اگر خطا برای یک سایت عمومی و ناشناس است، بهتر است بهجای عبور از هشدار، با پشتیبانی سایت تماس بگیرید.
چه زمانی نباید از هشدار SSL عبور کنیم؟
هشدارهای SSL برای محافظت از اطلاعات شما طراحی شدهاند. بنابراین همیشه نباید آنها را نادیده گرفت.
در این موارد از هشدار عبور نکنید:
- سایت بانکی یا پرداخت آنلاین است.
- صفحه ورود به حساب کاربری حساس است.
- در حال وارد کردن رمز عبور، اطلاعات کارت یا اطلاعات شخصی هستید.
- روی وایفای عمومی یا شبکه ناشناس هستید.
- خطا به MITM یا صادرکننده ناشناس اشاره دارد.
- دامنه با گواهی مطابقت ندارد.
اگر سایت متعلق به خودتان یا محیط داخلی شرکت است، میتوانید با آگاهی بیشتری خطا را بررسی کنید. اما برای سایتهای عمومی، هشدار SSL را جدی بگیرید.
جمعبندی
کدهای خطای SSL در فایرفاکس به شما کمک میکنند علت اصلی هشدار امنیتی را دقیقتر پیدا کنید. خطاهایی مثل SEC_ERROR_EXPIRED_CERTIFICATE معمولاً به انقضای گواهی مربوطاند، خطای SEC_ERROR_UNKNOWN_ISSUER به صادرکننده نامعتبر یا CA Bundle ناقص، خطای MOZILLA_PKIX_ERROR_MITM_DETECTED به احتمال دخالت واسط یا آنتیویروس، و خطای SSL_ERROR_BAD_CERT_DOMAIN به عدم تطابق دامنه و گواهی اشاره دارد.
اگر فقط شما خطا را میبینید، ابتدا تاریخ سیستم، آنتیویروس، VPN، پراکسی و پروفایل Firefox را بررسی کنید. اما اگر همه کاربران با خطا مواجهاند، مدیر سایت باید گواهی SSL، زنجیره گواهی، DNS، VirtualHost، HSTS و تنظیمات TLS را اصلاح کند.
در نهایت، هشدارهای امنیتی فایرفاکس را ساده نگیرید. SSL فقط برای نمایش قفل کنار آدرس سایت نیست؛ بخشی از اعتماد، امنیت کاربران و اعتبار سایت است.
سوالات متداول
چرا فایرفاکس خطای SSL نشان میدهد؟
چون نمیتواند اعتبار گواهی، دامنه، صادرکننده، زنجیره گواهی یا امنیت اتصال HTTPS را تأیید کند. گاهی هم مشکل از تاریخ سیستم، آنتیویروس یا شبکه کاربر است.
خطای SEC_ERROR_EXPIRED_CERTIFICATE یعنی چه؟
یعنی گواهی SSL سایت منقضی شده یا تاریخ سیستم شما اشتباه است. اگر تاریخ سیستم درست باشد، مدیر سایت باید SSL را تمدید کند.
خطای SEC_ERROR_UNKNOWN_ISSUER یعنی چه؟
یعنی Firefox به صادرکننده گواهی اعتماد ندارد یا زنجیره گواهی کامل نیست. این مشکل میتواند از CA Bundle ناقص، گواهی self-signed یا دخالت آنتیویروس باشد.
خطای MOZILLA_PKIX_ERROR_MITM_DETECTED خطرناک است؟
این خطا میتواند نشان دهد اتصال HTTPS توسط نرمافزار امنیتی، پراکسی سازمانی یا واسط شبکه بررسی میشود. در سایتهای حساس باید بسیار جدی گرفته شود.
خطای ERROR_SELF_SIGNED_CERT چیست؟
یعنی سایت از گواهی self-signed استفاده میکند. این نوع گواهی برای محیط داخلی یا تست قابل قبول است، اما برای سایت عمومی مناسب نیست.
خطای SSL_ERROR_BAD_CERT_DOMAIN یعنی چه؟
یعنی گواهی SSL برای دامنهای که باز کردهاید صادر نشده است. مثلاً گواهی برای www صادر شده اما شما نسخه بدون www را باز کردهاید.
آیا پاک کردن cert9.db در Firefox مشکل SSL را حل میکند؟
اگر مشکل از خرابی Certificate Store پروفایل Firefox باشد، ممکن است کمک کند. اما این روش باید بعد از بررسی تاریخ سیستم، آنتیویروس و سلامت گواهی انجام شود.
آیا میتوانم از هشدار SSL عبور کنم؟
برای سایتهای عمومی، بانکی، پرداختی و حساس توصیه نمیشود. فقط در محیطهای تست، داخلی یا سایتهایی که کاملاً به آنها اعتماد دارید، آن هم با آگاهی کامل، قابل بررسی است.
اگر سایت من در Firefox خطای SSL دارد اما در Chrome نه، چه کنم؟
زنجیره گواهی، CA Bundle، نسخه TLS و تنظیمات سرور را بررسی کنید. Firefox ممکن است در برخی موارد سختگیرانهتر عمل کند یا از Certificate Store متفاوتی استفاده کند.
برای جلوگیری از خطاهای SSL چه کار کنیم؟
گواهی معتبر نصب کنید، CA Bundle را کامل قرار دهید، SSL را قبل از انقضا تمدید کنید، دامنههای www و non-www را پوشش دهید، TLS جدید فعال کنید و HSTS را فقط بعد از اطمینان از سلامت SSL فعال کنید.
