Firefox 57 alias Quantum (Firefox, download di Quantum: la prima versione del browser che taglia con il passato) è diventato ancora più severo nei confronti di quei siti web che utilizzano certificati digitali scorretti ma, soprattutto, sta promuovendo un “giro di vite” rispetto a quei software che attivano funzionalità proxy sul sistema locale e sostituiscono i certificati originali con uno proprio.
Lo stesso approccio sarà seguito anche da Chrome che, a partire dalla versione 63, diverrà molto più intransigente: Chrome 63 proteggerà dagli attacchi MITM e dai certificati digitali fasulli.
L’errore SEC_ERROR_UNKNOWN_ISSUER visualizzato da Firefox indica un problema con il certificato digitale usato dal server web che eroga la pagina HTML richiesta.
Non sempre, però, il problema è di chi gestisce il sito web: spieghiamo i motivi della comparsa dell’errore e com’è possibile risolvere il problema.
Il motivo dell’errore SEC_ERROR_UNKNOWN_ISSUER in Firefox
Quando si visita un sito che utilizza il protocollo HTTPS (rispetto al tradizionale HTTP viene aggiunta la cifratura dei dati usando SSL/TLS rendendo quindi impossibile da parte di terzi il monitoraggio, la lettura e la modifica dei dati in transito), viene sempre presentato un certificato digitale che attesta l’identità del sito web che si sta visitando.
Sia Firefox che Chrome mostrano il messaggio “Non sicuro” nella barra degli indirizzi accanto all’URL di quei siti web che integrano un form per il login ma non usano il protocollo HTTPS (quindi attivano il trasferimento dei dati di autenticazione in chiaro): Sito sicuro su Chrome e Firefox, che cosa significa).
Nel caso di Chrome, visitando un sito HTTPS, è possibile premere il tasto F12 quindi cliccare su View certificate per visualizzare i dettagli sul certificato digitale in uso.
Analoga operazione, si può fare in Firefox cliccando sulla “i” mostrata nella parte sinistra nella barra degli URL quindi cliccando sulla freccia Visualizza dettagli connessione.
Cliccando, ancora, su Ulteriori informazioni, si accederà ai dettagli del certificato digitale usato dal sito web.
Il pulsante Visualizza certificato consente di verificare la validità del certificato mostrato dal sito web controllandone ad esempio l’autorità di certificazione che l’ha emesso e la sua scadenza.
L’errore “Questa connessione non è sicura” (SEC_ERROR_UNKNOWN_ISSUER) può essere determinato dalla sostituzione del certificato originale utilizzato dal sito web con un altro.
Alcuni software, spesso programmi per la sicurezza, installano un proxy locale verso cui vengono dirottate tutte le richieste di visita di qualunque sito web.
Tale componente riceve tutte le richieste di visita verso qualunque sito web e di fatto effettua in proprio la connessione al server remoto anziché lasciare che a provvedere in tal senso direttamente il browser.
L’obiettivo è evidentemente quello di analizzare i dati che transitano attraverso una connessione HTTPS.
Lato browser web, il certificato originale mostrato dal server web viene sostituito con un altro certificato, installato in locale dal software di sicurezza: ed è proprio per questo motivo che Firefox va su tutte le furie mostrando il messaggio d’errore SEC_ERROR_UNKNOWN_ISSUER.
Se, verificando le informazioni sul certificato di un sito web specifico, non si dovessero trovare informazioni su autorità note, è altamente probabile che il certificato sia stato rimpiazzato con uno installato in locale.
Per scoprirlo basta scaricare l’utilità gratuita SigCheck ed avviarla dal prompt dei comandi con la seguente sintassi:
sui sistemi Windows a 32 bit
sui sistemi Windows a 64 bit
Come spiegato nell’articolo Certificati digitali cosa sono e come rimuovere quelli fasulli SigCheck mostrerà l’elenco dei certificati sconosciuti aggiunti sul sistema, verosimilmente, da software di terze parti (o da veri e propri malware).
Esaminando i dettagli del certificato da browser web e utilizzando SigCheck di solito si riesce immediatamente a risalire al programma che ha provocato la comparsa dell’errore “Questa connessione non è sicura” (SEC_ERROR_UNKNOWN_ISSUER) in Firefox.
La comparsa del messaggio SEC_ERROR_UNKNOWN_ISSUER può essere quindi determinata anche da software per la sicurezza (come antivirus e antispyware) ma anche da parental control, da strumenti per il filtraggio e il monitoraggio delle sessioni di navigazione usati a livello aziendale nonché, evidentemente, anche da malware.
Peccato che, allo stato attuale, come peraltro confermato nel documento di supporto di Mozilla, Firefox non differenzi il messaggio d’errore. Il browser di Mozilla visualizza sempre l’errore SEC_ERROR_UNKNOWN_ISSUER sia nel caso di problemi lato server web che di attacchi MITM (man-in-the-middle), con la sostituzione dell’altrui certificato digitale.