- Firefox начал импортировать корневые сертификаты из windows
- Изменение степени доверия для установленных сертификатов
- Ручная установка персонального сертификата в mozilla firefox – webmoney wiki
- Сертификат (ff)
- Установка корневого сертификата в браузере mozilla firefox – webmoney wiki
- Установка сертификатов по ссылкам
Firefox начал импортировать корневые сертификаты из windows
С выходом Mozilla Firefox 65 в феврале 2021 года при подключении к сайтам HTTPS некоторые пользователи стали замечать ошибки типа “Your Connection is not secure” or “SEC_ERROR_UNKNOWN_ISSUER”. Причина оказалась в антивирусах типа Avast, Bitdefender и Kaspersky, которые для MiTM-внедрения в HTTPS-трафик пользователя устанавливают на компьютере свои корневые сертификаты. А поскольку у Firefox собственное хранилище сертификатов, то они пытаются внедриться в него тоже.
Разработчики браузеров давно призывают пользователей отказаться от установки сторонних антивирусов, которые мешают работе браузеров и других программ, однако массовая аудитория пока не прислушивается к призывам. К сожалению, работая в качестве прозрачного прокси, многие антивирусы снижают качество криптографической защиты на клиентских компьютерах. С этой целью разрабатываются инструменты обнаружения HTTPS-перехвата, которые на стороне сервера определяют наличие MiTM, такого как антивирус, в канале между клиентом и сервером.
Так или иначе, но в данном случае антивирусы опять помешали работе браузера, и Firefox не осталось ничего иного, кроме как решать проблему со своей стороны. В конфигах браузере есть настройка security.enterprise_roots.enabled. Если активировать этот флаг, то Firefox начнёт использовать хранилище сертификатов Windows для валидации SSL-соединений. Если у кого-то при посещении сайтов HTTPS возникают вышеупомянутые ошибки, то можно или отключить сканирование SSL-соединений в антивирусе, или вручную установить этот флаг в настройках браузера.
Проблема обсуждается в баг-трекере Mozilla. Разработчики приняли решение в целях эксперимента активировать флаг security.enterprise_roots.enabled по умолчанию, чтобы хранилище сертификатов Windows использовалось без дополнительных действий со стороны пользователя. Это произойдёт с версии Firefox 66 на системах Windows 8 и Windows 10, на которых установлены сторонние антивирусы (определять наличие антивируса в системе API позволяют только с версии Windows 8).
Изменение степени доверия для установленных сертификатов
Если браузер в одном из пунктов выдаст сообщение, что сертификаты были уже установлены, проверьте степени доверия к ним. Для этого в “Управлении сертификатами” во вкладке “Центры сертификации” выберите установленный сертификат НЕГІЗГІ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA) и нажмите на “Изменить доверие…”. Установите галочку “Доверять при идентификации веб-сайтов.” и нажмите “ОК”.
Далее выберите сертификат ҰЛТТЫҚ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA), нажмите на “Изменить доверие…”, и ничего не выбирая, нажмите “ОК”.
Ручная установка персонального сертификата в mozilla firefox – webmoney wiki
Данной инструкцией следует пользоваться в том случае, если несколько попыток получения нового персонального сертификата и его установки в хранилище сертификатов браузера Mozilla Firefox окончились неудачно. То есть после выполнения всех действий на сайте www.wmcert.com сертификат не установился в хранилище браузера, а при попытке получить его заново сервис www.wmcert.com выдает сообщение: “На данный момент для Вашего WM id недоступна процедура обновления регистрации. Вы должны воспользоваться процедурой обновления сертификатов за две недели до окончания срока действия Вашего сертификата”.
Данная ситуация говорит о том, что закрытый ключ на вашем компьютере сгенерирован, сертификат сервером выдан, но в браузер не инсталлирован.
В настоящее время функции управления сертификатами Firefox позволяют импортировать только сертификаты с закрытым ключом (формат PFX), поэтому для инсталляции нового сертификата нам потребуются дополнительные программные средства: NSS Securty Tools (далее NSS) и Netscape Portable Runtime (далее NSPR).
1 Для того чтобы выполнить установку “вручную” необходимо получить сертификат – файл вида .cer и в профиле Firefox найти три файла базы данных хранилища сертификатов – cert8.db, key3.db, secmod.db.
Файлы хранилища располагаются в директории профиля браузера Х:Documents and SettingsApplication DataMozillaFirefoxProfiles.default.
2 Копируем файлы в отдельную директорию, например, в x:cert.
3 Скачиваем утилиты и библиотеки NSS и NSPR. Распаковываем.
( для систем, основанных на базе ядра Linux, необходимо установить пакет libnss3-tools )
4 Из директории lib пакета NSPR копируем все файлы в системную папку x:WINNTSystem32. Аналогичное действие выполняем для пакета NSS. Из директории bin пакета NSS в нашу рабочую папку x:cert копируем утилиту certutil.exe.
5 Жмем “Пуск->Выполнить”. В поле “Открыть” набираем cmd и нажимаем кнопку “ОК”. Затем в командной строке набираем
cd x:cert
и жмем ввод.
6 Вводим команду
certutil -A -n <имя сертификата> -t "u,u,u" -d x:cert -i <номер WMID>.cer
где – любое название, может быть, например, номером WMID.
Внимание!
1. Вы должны выполнять эти команды в том же профайле (аккаунте Windows), в котором вы запускали Firefox при продлении!
Firefox не должен быть запущен, при выполнении команд .
2.При получении ошибки “certutil: unable to decode trust string: Certificate extension not found.”
Команду рекомендуется изменить, указав полный путь к файлу .cer , и уникальное новое имя сертификата, например:
certutil -A -n <имя сертификата>newX -t "u,u,u" -d x:cert -i x:cert<номер WMID>.cer
Также, для ключа -t необходимо использовать стандартные кавычки “u,u,u”, а не русские “u,u,u”,
и пробелы после запятых также недопустимы (“u, u, u” – некорректно).
При некорректном указании ключа -t или пути к файлу .cer выдается ошибка:
certutil: unable to decode trust string: Certificate extension not found.
7 Копируем файлы cert8.db, key3.db, secmod.db обратно в директорию профиля браузера Х:Documents and SettingsApplication DataMozillaFirefoxProfiles.default.
8 Удаляем старый сертификат из хранилища Firefox.
См. также
Персональный сертификат
Продление персонального сертификата
Регистрация WM Keeper WebPro в Mozilla Firefox
Сертификат (ff)
Сертификаты используются для организации безопасного соединения между
серверам и клиентскими компьютерами – они позволяют клиенту надёжно
идентифицировать сервер, удостоверяя, что сервер – тот самый, за который себя
выдаёт. Обычно сертификаты для общения между клиентом и сервером в интернете выдаются третьей стороной, которой доверяют и клиент, и сервер. В случае со
службами Stormway Consulting сертификат для почтового сервера выпущен нашей собственной службой
сертификации, StormCert – эта служба выпускает
сертификаты и для других наших служб, в частности, сервера
управления услугами (клиентская поддержка), почтовых серверов
Stormway и т.д. Сертификат службы
StormCert называется “корневым”, так как он не зависит ни от одного
другого сертификата. Остальные сертификаты служб my-sertif.ru
подписаны сертификатом StormCert, поэтому могут
быть проверены на достоверность, если Вы сами доверяете нашему центру
сертификации.
Установка корневого сертификата на Ваш компьютер не является необходимой, а
лишь рекомендуемой, так как облегчает Вашу работу с почтовыми службами
my-sertif.ru. Установка корневого сертификата
обязательна в том случае, если Вы используете защищённое соединение
между Вашей программой Outlook (или
Outlook Mobile) и нашим сервером через HTTPS-проксиили Outlook Anywhere.
Примечание: установка корневого сертификата в хранилище операционной системы
Windows описывается в отдельной инструкции: для
Windows XPи для
Windows 10.
Generated: 28.09.2021 at 1:57:32 by my-sertif.ru (0 hits).
Установка корневого сертификата в браузере mozilla firefox – webmoney wiki
Если при попытке установить защищенное соединение с одним из сервисовWebMoney (например, https://passport.webmoney.ru) в окне браузера Firefox вы видите следующую картинку, то вам необходимо установить корневой сертификат Webmoney.
Для этого загрузите сертификат, сохранив его на жестком диске или запустив с текущего места.
Если вы запустили файл сертификата, то перед вами откроется окно Загрузка сертификата (см. далее).
Если вы сохранили сертификат на жестком диске, то в меню Настройки…. Перейдите в раздел Приватность и защита – Сертификаты и нажмите кнопку “Просмотр сертификатов”.
В окне Менеджера сертификатов выберите вкладку Центры сертификации и нажмите кнопку “Импортировать…”
Найдите на жестком диске сохраненный файл сертификата и нажмите кнопку “Открыть”.
В окне Загрузка сертификата необходимо выбрать цели, для которых вы импортируете сертификат.
Выбирайте все предложенные варианты, отметив их флажками, после чего жмите кнопку “ОК”.
Для контроля правильности проделанных операций в окне Менеджера сертификатов откройте вкладку Центры сертификации и в конце списка найдите установленный вами корневой сертификат.
Выделите его и нажмите кнопку “Просмотреть” .
Убедитесь, что сертификат действителен и его срок действия оканчивается 10.03.2035 г.
Закройте все окна и проверьте действие сертификата, установив защищенное соединение с сайтом Центра аттестации — https://passport.webmoney.ru.
См. также
Настройка Mozilla Firefox
Регистрация WM Keeper WebPro в Mozilla Firefox
Импорт сертификата в браузере Mozilla Firefox
Экспорт сертификата в браузере Mozilla Firefox
Установка сертификатов по ссылкам
На сайте НУЦ РК в блоке “Корневые сертификаты” нажмите на ссылку КУЦ (RSA). Если появится окно “Загрузка сертификата” НЕГІЗГІ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA), то поставьте галочку напротив “Доверять при идентификации веб-сайтов.” и нажмите “ОК”. Если нет – загрузите и сохраните файл.
Далее там же нажмите на ссылку НУЦ (RSA). Если появится окно “Загрузка сертификата” ҰЛТТЫҚ КУӘЛАНДЫРУШЫ ОРТАЛЫҚ (RSA), то ничего не выбирая нажмите *”ОК”. Если нет – загрузите и сохраните файл.