Firefox blokkeert een verbinding zodra het een probleem met het SSL-certificaat van de bezochte site detecteert. De browser toont dan een foutmelding zoals “Uw verbinding is niet beveiligd” of “Veilige verbinding mislukt”, waardoor toegang tot de pagina wordt verhinderd. Dit gedrag beschermt de gegevens van de gebruiker, maar het vormt een concreet probleem wanneer de betrokken site een interne tool, netwerkapparatuur of een zelfgehoste server is waarvan het certificaat legitiem maar niet erkend is.
SSL-filtering door antivirus: de over het hoofd geziene oorzaak van Firefox-blokkades
De meeste handleidingen over dit onderwerp verwijzen onmiddellijk naar de instellingen van de browser. Voordat je iets in Firefox aanpast, moet je controleren of er een derde partijsoftware is die het HTTPS-verkeer onderschept.
Zie ook : Hoe uw bedrijfsimplantatie in het hart van de Paris-Saclay-cluster te laten slagen
Beveiligingspakketten zoals ESET, Kaspersky of Bitdefender bevatten een SSL/TLS-filtermodule die de versleutelde inhoud analyseert door zich tussen de browser en de externe server te plaatsen. Dit mechanisme vervangt het originele certificaat van de site door een certificaat dat door de antivirus is gegenereerd. Firefox, dat zijn eigen certificaatopslag beheert (in tegenstelling tot Chrome of Edge die die van Windows gebruiken), herkent dit tussenliggende certificaat niet en veroorzaakt de fout.
ESET documenteert dit gedrag en raadt als tijdelijke oplossing aan om de SSL-protocolanalyse uit te schakelen in de instellingen van het beveiligingspakket om de toegang tot HTTPS-sites te herstellen. De procedure verschilt per uitgever, maar het principe blijft hetzelfde: zoek de optie voor webfiltering of SSL-inspectie, schakel deze uit en start Firefox opnieuw op.
Zie ook : Hoe de authenticiteit van een RNCP-diploma te verifiëren: praktische en effectieve tips
Als de fout na deze handeling verdwijnt, komt het probleem niet van de site of de browser. Het is dan mogelijk om de SSL-filtering opnieuw in te schakelen en Firefox toe te voegen aan de uitzonderingen van de antivirus, of het rootcertificaat van het beveiligingspakket in de opslag van Firefox te importeren. De gedetailleerde procedure voor het toestaan van een onveilige verbinding op Firefox behandelt ook dit soort configuratie aan de browserzijde.
About:config-pagina van Firefox: het minimum TLS-protocol wijzigen
Sinds Firefox 91 vereist de browser TLS 1.2 als minimale versie van het versleutelingsprotocol. Sites die nog werken met TLS 1.0 of TLS 1.1 worden geblokkeerd zonder de knop “Accepteer het risico en ga door” die gebruikers kenden van eerdere versies.
Om toegang te krijgen tot een site waarvan de server TLS 1.2 niet ondersteunt, is de enige optie via de geavanceerde configuratie-editor van Firefox.
- Typ about:config in de adresbalk en bevestig. Accepteer de waarschuwing door op “Accepteer het risico en ga door” te klikken.
- Zoek de instelling security.tls.version.min in het zoekveld. De standaardwaarde is 3, wat overeenkomt met TLS 1.2.
- Wijzig deze waarde naar 1 (TLS 1.0) of 2 (TLS 1.1) afhankelijk van het protocol dat door de doelserver wordt gebruikt, en laad de pagina van de betreffende site opnieuw.
- Als de sessie is beëindigd, zet de waarde terug naar 3 om het normale beveiligingsniveau van de browser te herstellen.
Deze handeling stelt de browser tijdelijk bloot aan protocollen waarvan de kwetsbaarheden gedocumenteerd zijn. Houd deze alleen actief zolang strikt noodzakelijk, en alleen op een vertrouwd netwerk.
De waarschuwing voor niet-versleutelde wachtwoordvelden uitschakelen
Firefox toont ook een doorstreepte hangslot en een waarschuwingsbericht wanneer een inlogformulier zich op een HTTP-pagina bevindt. Dit gedrag, dat verschilt van de certificaatfout, kan worden beheerd via about:config met de instelling security.insecure_field_warning.contextual.enabled. Deze op “false” zetten verwijdert de visuele waarschuwing op de invoervelden. De instelling security.insecure_password.ui.enabled, ingesteld op “false”, verwijdert bovendien het waarschuwingsicoon in de adresbalk.
Zelfondertekend certificaat en fout SEC_ERROR_UNKNOWN_ISSUER op Firefox
Fouten van het type SEC_ERROR_UNKNOWN_ISSUER of SSL_ERROR_BAD_CERT_DOMAIN verschijnen wanneer Firefox de certificeringsautoriteit (CA) die het certificaat van de site heeft uitgegeven, niet in zijn interne opslag kan vinden. Dit komt vaak voor op de beheersinterfaces van routers, NAS, lokale servers of bedrijfsapplicaties die zelfondertekende certificaten gebruiken.
Op de foutpagina biedt Firefox soms een knop “Geavanceerd” en dan “Accepteer het risico en ga door”. Deze optie voegt een permanente beveiligingsuitzondering voor de site toe. Echter, bepaalde zeer verouderde of slecht gevormde certificaten activeren deze optie niet, en de knop verschijnt gewoon niet.
Certificaatuitzonderingen handmatig beheren
In dit geval is het mogelijk om de uitzondering toe te voegen via de instellingen van de browser. Open het menu van Firefox, ga naar Instellingen, Privacy en beveiliging, scroll naar de sectie Certificaten en klik op “Beheer certificaten”. Het tabblad “Servers” maakt het mogelijk om handmatig een uitzondering voor een specifieke URL toe te voegen.
De duurzame oplossing ligt echter aan de serverzijde. Recente hostinghandleidingen raden aan om zelfondertekende certificaten te vervangen door een erkend certificaat, bijvoorbeeld via Let’s Encrypt, dat gratis en geautomatiseerde certificaten biedt. Het corrigeren van mixed content-problemen (bronnen die via HTTP op een HTTPS-pagina worden geladen) maakt ook deel uit van de vereisten zodat Firefox de verbinding zonder waarschuwing accepteert.
Wanneer het probleem van de systeemdatum of het netwerk komt
Firefox controleert de tijdsvaliditeit van het certificaat op basis van de systeemklok. Een onjuiste datum of tijd op de computer is voldoende om een perfect geldig certificaat ongeldig te maken. De foutmelding vermeldt dan vaak een inconsistente vervaldatum. Het controleren van de datum- en tijdinstellingen van Windows of macOS en het inschakelen van automatische synchronisatie lost dit soort blokkades in enkele seconden op.
Bedrijfsnetwerken, captive portals van hotels of openbare Wi-Fi-netwerken veroorzaken ook certificaatfouten. De firewall of proxy onderschept de HTTPS-verbinding en presenteert zijn eigen certificaat, dat Firefox weigert. In deze situatie kan het soms helpen om eerst toegang te krijgen tot een eenvoudige HTTP-site (zonder S) om de inlogpagina van het captive portal te activeren, waarna de HTTPS-navigatie normaal wordt hervat.
Het wijzigen van de beveiligingsinstellingen van Firefox blijft een laatste redmiddel, geen reflex. Eerst identificeren of de oorzaak van de blokkade de antivirus, het netwerk, de systeemklok of de server zelf is, voorkomt dat de bescherming van de browser wordt verlaagd voor een probleem dat elders kan worden opgelost.