Skip to content
EN

MOZILLA_PKIX_ERROR_MITM_DETECTED в Firefox

Коротко:

MOZILLA_PKIX_ERROR_MITM_DETECTED — Firefox увидел подозрительный сертификат на домене с pinned keys (google.com, facebook.com и др.). Это не baseline SSL warning — Firefox считает что вы под MITM-атакой. Причины: корпоративный прокси (Zscaler, Kaspersky AV), legitimate родительский контроль, realистичная атака (редко). НЕ игнорируйте без причины.

Эта ошибка блокирует HTTPS-доступ. Ниже: причины, исправление, FAQ.

Проверить SSL своего сайта →

Причины ошибки

  • Корпоративный прокси с TLS-inspection (Zscaler, Forcepoint, Symantec)
  • Kaspersky Internet Security / Bitdefender с SSL-анализом
  • Родительский контроль на уровне роутера
  • Actual MITM атака (публичный Wi-Fi, compromised DNS)
  • Самописанный MITM тестовый прокси (mitmproxy, Burp)

Пошаговое исправление

  1. Если в корпоративной сети — норма, обратитесь к IT
  2. Временно отключите antivirus SSL inspection — проверьте
  3. Смените сеть (mobile hotspot) — если исчезло = ваша сеть
  4. Firefox: about:preferences#privacy → Certificates → "Ask every time"
  5. НЕ нажимайте "Advanced → Accept risk" пока не поймёте причину

Проверить SSL-сертификат →

Смежные SSL-ошибки

Что такое ошибка MOZILLA_PKIX_ERROR_MITM_DETECTED?

Ошибка MOZILLA_PKIX_ERROR_MITM_DETECTED в браузере Firefox возникает, когда система обнаруживает потенциальную атаку «человек посередине» (MITM). Это происходит, когда браузер не может проверить сертификат SSL/TLS, что может быть вызвано неправильной конфигурацией сети или вмешательством сторонних приложений. Чтобы решить эту проблему, убедитесь, что антивирусное ПО или прокси-сервер не перехватывают трафик, и проверьте правильность сертификатов на сервере.

Причины возникновения ошибки и способы её диагностики

Ошибка MOZILLA_PKIX_ERROR_MITM_DETECTED может возникать по нескольким причинам. Основные из них:

  • Проблемы с сертификатом: Сертификат может быть недействительным, истекшим или неправильно установленным.
  • Антивирусное ПО: Некоторые антивирусные программы могут перехватывать SSL/TLS-соединения для проверки, что приводит к ошибкам.
  • Прокси-серверы: Использование прокси может также вызвать проблемы с проверкой сертификатов.

Чтобы диагностировать проблему, выполните следующие шаги:

  1. Откройте консоль разработчика в Firefox (F12) и перейдите на вкладку Сеть.
  2. Попробуйте загрузить сайт и посмотрите, какие ошибки отображаются в консоли.
  3. Проверьте сертификаты, используя команду openssl s_client -connect example.com:443 в терминале.

Эта команда покажет, какой сертификат используется и правильный ли он. Если сертификат недействителен, необходимо обратиться к администратору сайта для его обновления.

Как исправить ошибку MOZILLA_PKIX_ERROR_MITM_DETECTED

Для исправления ошибки MOZILLA_PKIX_ERROR_MITM_DETECTED выполните следующие действия:

  1. Проверьте настройки антивируса: Убедитесь, что функция проверки SSL отключена. Для программ, таких как Avast или Norton, это можно сделать в разделе настроек безопасности.
  2. Проверьте настройки прокси: Убедитесь, что в Firefox отключены все прокси-серверы. Для этого перейдите в Настройки > Сеть > Настроить параметры соединения.
  3. Обновите сертификаты: Если вы администратор сайта, проверьте, что сертификаты корректно установлены. Используйте команду sudo certbot renew для обновления сертификатов Let's Encrypt.

После выполнения этих шагов перезапустите браузер и попробуйте снова загрузить сайт. Если ошибка не исчезла, рассмотрите возможность проверки других сетевых настроек или обратитесь к провайдеру интернет-услуг.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Источники

Часто задаваемые вопросы

Почему Firefox так строг?

Mozilla pins certain root CAs и detects if chain has been tampered. MITM на google.com — реальный phishing вектор.

Chrome то же самое показывает?

Chrome показывает ERR_CERT_SYMANTEC_LEGACY или NET::ERR_CERT_AUTHORITY_INVALID с пометкой "Pinning". Сообщение мягче.

Корпоративный прокси — это безопасно?

Зависит. IT decrypts ваш трафик. Вы должны доверять политикам безопасности компании и законодательству.

Как проверить что серт настоящий?

<a href="/ssl">Enterno SSL-чекер</a> из чистой сети (не вашей офисной) — покажет реальный CA.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.