- PVSM.RU - https://www.pvsm.ru -

Firefox начал импортировать корневые сертификаты из Windows

Firefox начал импортировать корневые сертификаты из Windows - 1

Хранилище сертификатов Firefox

С выходом Mozilla Firefox 65 в феврале 2019 года при подключении к сайтам HTTPS некоторые пользователи стали замечать ошибки [1] типа “Your Connection is not secure” or “SEC_ERROR_UNKNOWN_ISSUER”. Причина оказалась в антивирусах типа Avast, Bitdefender и Kaspersky, которые для MiTM-внедрения в HTTPS-трафик пользователя устанавливают на компьютере свои корневые сертификаты. А поскольку у Firefox собственное хранилище сертификатов, то они пытаются внедриться в него тоже.

Разработчики браузеров давно призывают [2] пользователей отказаться от установки сторонних антивирусов, которые мешают работе браузеров и других программ, однако массовая аудитория пока не прислушивается к призывам. К сожалению, работая в качестве прозрачного прокси, многие антивирусы снижают качество криптографической защиты на клиентских компьютерах. С этой целью разрабатываются инструменты обнаружения HTTPS-перехвата [3], которые на стороне сервера определяют наличие MiTM, такого как антивирус, в канале между клиентом и сервером.

Так или иначе, но в данном случае антивирусы опять помешали работе браузера, и Firefox не осталось ничего иного, кроме как решать проблему со своей стороны. В конфигах браузере есть настройка security.enterprise_roots.enabled. Если активировать этот флаг, то Firefox начнёт использовать хранилище сертификатов Windows для валидации SSL-соединений. Если у кого-то при посещении сайтов HTTPS возникают вышеупомянутые ошибки, то можно или отключить сканирование SSL-соединений в антивирусе, или вручную установить этот флаг в настройках браузера.

Проблема обсуждается [4] в баг-трекере Mozilla. Разработчики приняли решение в целях эксперимента активировать флаг security.enterprise_roots.enabled по умолчанию, чтобы хранилище сертификатов Windows использовалось без дополнительных действий со стороны пользователя. Это произойдёт с версии Firefox 66 на системах Windows 8 и Windows 10, на которых установлены сторонние антивирусы (определять наличие антивируса в системе API позволяют только с версии Windows 8).

Автор: alizar

Источник [5]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/windows/312707

Ссылки в тексте:

[1] стали замечать ошибки: https://bugzilla.mozilla.org/show_bug.cgi?id=1523701

[2] давно призывают: https://habr.com/ru/post/401059/

[3] инструменты обнаружения HTTPS-перехвата: https://habr.com/ru/company/globalsign/blog/444496/

[4] обсуждается: https://bugzilla.mozilla.org/show_bug.cgi?id=1533397

[5] Источник: https://habr.com/ru/post/445462/?utm_campaign=445462