Сховішча сертыфікатаў Firefox
З выхадам Mozilla Firefox 65 у лютым 2019 года пры падключэнні да сайтаў HTTPS некаторыя карыстальнікі тыпу "Your Connection is not secure" ці "SEC_ERROR_UNKNOWN_ISSUER". Чыннік апынулася ў антывірусах тыпу Avast, Bitdefender і Kaspersky, якія для MiTM-укараненні ў HTTPS-трафік карыстача ўсталёўваюць на кампутары свае каранёвыя сертыфікаты. А паколькі ў Firefox уласнае сховішча сертыфікатаў, то яны спрабуюць укараніцца ў яго таксама.
Распрацоўнікі браўзэраў карыстальнікаў адмовіцца ад усталёўкі іншых антывірусаў, якія замінаюць працы браўзэраў і іншых праграм, аднак масавая аўдыторыя пакуль не прыслухоўваецца да заклікаў. Нажаль, працуючы ў якасці празрыстага проксі, шматлікія антывірусы змяншаюць якасць крыптаграфічнай абароны на кліенцкіх кампутарах. З гэтай мэтай распрацоўваюцца , якія на баку сервера вызначаюць наяўнасць MiTM, такога як антывірус, у канале паміж кліентам і серверам.
Так ці інакш, але ў дадзеным выпадку антывірусы зноў перашкодзілі працы браўзэра, і Firefox не засталося нічога іншага, акрамя як вырашаць праблему са свайго боку. У канфігах браўзэры ёсць настройка security.enterprise_roots.enabled. Калі актываваць гэты сцяг, Firefox пачне выкарыстоўваць сховішча сертыфікатаў Windows для валідацыі SSL-злучэнняў. Калі ў кагосьці пры наведванні сайтаў HTTPS узнікаюць вышэйзгаданыя памылкі, то можна ці адключыць сканаванне SSL-злучэнняў у антывірусе, ці ўручную ўсталяваць гэты сцяг у наладах браўзэра.
праблема у баг-трэкеры Mozilla. Распрацоўнікі прынялі рашэнне ў мэтах эксперыменту актываваць сцяг security.enterprise_roots.enabled па змаўчанні, каб сховішча сертыфікатаў Windows выкарыстоўвалася без дадатковых дзеянняў са боку карыстача. Гэта адбудзецца з версіі Firefox 66 на сістэмах Windows 8 і Windows 10, на якіх усталяваныя іншыя антывірусы (вызначаць наяўнасць антывіруса ў сістэме API дазваляюць толькі з версіі Windows 8).
Крыніца: habr.com