- Вступление
- Firefox начал импортировать корневые сертификаты из windows
- Использование файла js
- Отправка отчётов об ошибках сертификатов
- Просмотр сертификата
- Редактирование настроек
- Ручная установка персонального сертификата в mozilla firefox – webmoney wiki
- Установка корневого сертификата в браузере mozilla firefox – webmoney wiki
Вступление
В отличии от большинства браузеров (Chrome, Opera, Yandex Browser и т. д.), Firefox не использует корневые сертификаты, которые хранятся в хранилище Windows. Вместо этого, данный браузер использует их из своего собственного хранилища (чем между прочим очень сильно гордятся).
Однако, в Firefox можно настроить использование сертификатов из хранилища сертификатов операционной системы Windows. Сделать это можно двумя путями, и ниже будет рассказано о каждом из них.
Firefox начал импортировать корневые сертификаты из windows
С выходом Mozilla Firefox 65 в феврале 2021 года при подключении к сайтам HTTPS некоторые пользователи стали замечать ошибки типа “Your Connection is not secure” or “SEC_ERROR_UNKNOWN_ISSUER”. Причина оказалась в антивирусах типа Avast, Bitdefender и Kaspersky, которые для MiTM-внедрения в HTTPS-трафик пользователя устанавливают на компьютере свои корневые сертификаты. А поскольку у Firefox собственное хранилище сертификатов, то они пытаются внедриться в него тоже.
Разработчики браузеров давно призывают пользователей отказаться от установки сторонних антивирусов, которые мешают работе браузеров и других программ, однако массовая аудитория пока не прислушивается к призывам. К сожалению, работая в качестве прозрачного прокси, многие антивирусы снижают качество криптографической защиты на клиентских компьютерах. С этой целью разрабатываются инструменты обнаружения HTTPS-перехвата, которые на стороне сервера определяют наличие MiTM, такого как антивирус, в канале между клиентом и сервером.
Так или иначе, но в данном случае антивирусы опять помешали работе браузера, и Firefox не осталось ничего иного, кроме как решать проблему со своей стороны. В конфигах браузере есть настройка security.enterprise_roots.enabled. Если активировать этот флаг, то Firefox начнёт использовать хранилище сертификатов Windows для валидации SSL-соединений. Если у кого-то при посещении сайтов HTTPS возникают вышеупомянутые ошибки, то можно или отключить сканирование SSL-соединений в антивирусе, или вручную установить этот флаг в настройках браузера.
Проблема обсуждается в баг-трекере Mozilla. Разработчики приняли решение в целях эксперимента активировать флаг security.enterprise_roots.enabled по умолчанию, чтобы хранилище сертификатов Windows использовалось без дополнительных действий со стороны пользователя. Это произойдёт с версии Firefox 66 на системах Windows 8 и Windows 10, на которых установлены сторонние антивирусы (определять наличие антивируса в системе API позволяют только с версии Windows 8).
Использование файла js
Конечно выше описанный способ является достаточно простым, за исключением того, что его довольно неудобно применять на компьютерах в какой-либо администрируемой корпоративной сети. Тем не менее, решение есть – распространить через групповые политики файл .js, в котором будет прописана нужная настройка.
Браузер Firefox, при своем запуске, проверяет наличие файлов js по адресу директория установки Firefoxdefaultspref, и если их обнаруживает, то подгружает прописанные в них настройки. Так что достаточно лишь создать файл wincerts.js, и вписать в него следующее:
pref("security.enterprise_roots.enabled", true);и сохранить по адресу директория установки Firefoxdefaultspref. Теперь остается лишь перезапустить браузер, и он будет по умолчанию подхватывать корневые сертификаты Windows.
Отправка отчётов об ошибках сертификатов
Страницы с ошибками сертификатов включают в себя возможность отправки отчёта об ошибках в Mozilla. Если вы делитесь адресом и идентификацией сайта (сертификатом безопасности веб-сайта) для недоверенного сайта, это помогает Mozilla в идентификации и блокировке вредоносных сайтов, чтобы предоставить вам лучшую защиту.
Просмотр сертификата
Вы можете быстро просмотреть подробную информацию о сертификате для веб-сайта, который в настоящий момент просматриваете, в окне Информация о сайте в Firefox.
В открывшемся окне Просмотр сертификата отобразится основная информация о сертификате, такая как издатель, время действия и отпечатки. Вкладка отображается иерархию сертификата, поля сертификата для выбранного сертификата в иерархии и подробности о значении поля для выбранного поля.
В открывшейся вкладке Просмотр сертификата отобразится основная информация о сертификате, такая как издатель, время действия и отпечатки и другую информацию.
иерархию сертификата, которые работают на странице как вкладки. Вы можете щёлкнуть на заголовок каждого сертификата, чтобы просмотреть по нему информацию.
Редактирование настроек
Данный способ работает только в операционных системах семейства Windows!
Самый простой способ, это использовать редактор настроек Firefox. Попасть в него можно просто набрав в адресной строке в качестве адреса about:config. Теперь остается лишь найти параметр под названием security.enterprise_roots.enabled (используйте поиск в верхней части!), и установить его значение в true.
Ручная установка персонального сертификата в mozilla firefox – webmoney wiki
Данной инструкцией следует пользоваться в том случае, если несколько попыток получения нового персонального сертификата и его установки в хранилище сертификатов браузера Mozilla Firefox окончились неудачно. То есть после выполнения всех действий на сайте www.wmcert.com сертификат не установился в хранилище браузера, а при попытке получить его заново сервис www.wmcert.com выдает сообщение: “На данный момент для Вашего WM id недоступна процедура обновления регистрации. Вы должны воспользоваться процедурой обновления сертификатов за две недели до окончания срока действия Вашего сертификата”.
Данная ситуация говорит о том, что закрытый ключ на вашем компьютере сгенерирован, сертификат сервером выдан, но в браузер не инсталлирован.
В настоящее время функции управления сертификатами Firefox позволяют импортировать только сертификаты с закрытым ключом (формат PFX), поэтому для инсталляции нового сертификата нам потребуются дополнительные программные средства: NSS Securty Tools (далее NSS) и Netscape Portable Runtime (далее NSPR).
1 Для того чтобы выполнить установку “вручную” необходимо получить сертификат – файл вида .cer и в профиле Firefox найти три файла базы данных хранилища сертификатов – cert8.db, key3.db, secmod.db.
Файлы хранилища располагаются в директории профиля браузера Х:Documents and SettingsApplication DataMozillaFirefoxProfiles.default.
2 Копируем файлы в отдельную директорию, например, в x:cert.
3 Скачиваем утилиты и библиотеки NSS и NSPR. Распаковываем.
( для систем, основанных на базе ядра Linux, необходимо установить пакет libnss3-tools )
4 Из директории lib пакета NSPR копируем все файлы в системную папку x:WINNTSystem32. Аналогичное действие выполняем для пакета NSS. Из директории bin пакета NSS в нашу рабочую папку x:cert копируем утилиту certutil.exe.
5 Жмем “Пуск->Выполнить”. В поле “Открыть” набираем cmd и нажимаем кнопку “ОК”. Затем в командной строке набираем
cd x:cert
и жмем ввод.
6 Вводим команду
certutil -A -n <имя сертификата> -t "u,u,u" -d x:cert -i <номер WMID>.cer
где – любое название, может быть, например, номером WMID.
Внимание!
1. Вы должны выполнять эти команды в том же профайле (аккаунте Windows), в котором вы запускали Firefox при продлении!
Firefox не должен быть запущен, при выполнении команд .
2.При получении ошибки “certutil: unable to decode trust string: Certificate extension not found.”
Команду рекомендуется изменить, указав полный путь к файлу .cer , и уникальное новое имя сертификата, например:
certutil -A -n <имя сертификата>newX -t "u,u,u" -d x:cert -i x:cert<номер WMID>.cer
Также, для ключа -t необходимо использовать стандартные кавычки “u,u,u”, а не русские “u,u,u”,
и пробелы после запятых также недопустимы (“u, u, u” – некорректно).
При некорректном указании ключа -t или пути к файлу .cer выдается ошибка:
certutil: unable to decode trust string: Certificate extension not found.
7 Копируем файлы cert8.db, key3.db, secmod.db обратно в директорию профиля браузера Х:Documents and SettingsApplication DataMozillaFirefoxProfiles.default.
8 Удаляем старый сертификат из хранилища Firefox.
См. также
Персональный сертификат
Продление персонального сертификата
Регистрация WM Keeper WebPro в Mozilla Firefox
Установка корневого сертификата в браузере mozilla firefox – webmoney wiki
Если при попытке установить защищенное соединение с одним из сервисовWebMoney (например, https://passport.webmoney.ru) в окне браузера Firefox вы видите следующую картинку, то вам необходимо установить корневой сертификат Webmoney.
Для этого загрузите сертификат, сохранив его на жестком диске или запустив с текущего места.
Если вы запустили файл сертификата, то перед вами откроется окно Загрузка сертификата (см. далее).
Если вы сохранили сертификат на жестком диске, то в меню Настройки…. Перейдите в раздел Приватность и защита – Сертификаты и нажмите кнопку “Просмотр сертификатов”.
В окне Менеджера сертификатов выберите вкладку Центры сертификации и нажмите кнопку “Импортировать…”
Найдите на жестком диске сохраненный файл сертификата и нажмите кнопку “Открыть”.
В окне Загрузка сертификата необходимо выбрать цели, для которых вы импортируете сертификат.
Выбирайте все предложенные варианты, отметив их флажками, после чего жмите кнопку “ОК”.
Для контроля правильности проделанных операций в окне Менеджера сертификатов откройте вкладку Центры сертификации и в конце списка найдите установленный вами корневой сертификат.
Выделите его и нажмите кнопку “Просмотреть” .
Убедитесь, что сертификат действителен и его срок действия оканчивается 10.03.2035 г.
Закройте все окна и проверьте действие сертификата, установив защищенное соединение с сайтом Центра аттестации — https://passport.webmoney.ru.
См. также
Настройка Mozilla Firefox
Регистрация WM Keeper WebPro в Mozilla Firefox
Импорт сертификата в браузере Mozilla Firefox
Экспорт сертификата в браузере Mozilla Firefox