Сховище сертифікатів Firefox
З виходом Mozilla Firefox 65 у лютому 2019 року при підключенні до сайтів HTTPS деякі користувачі типу “Your Connection is not secure” або “SEC_ERROR_UNKNOWN_ISSUER”. Причина опинилася в антивірусах типу Avast, Bitdefender та Kaspersky, які для MiTM-впровадження в HTTPS-трафік користувача встановлюють на комп'ютері свої кореневі сертифікати. А оскільки Firefox має власне сховище сертифікатів, то вони намагаються впровадитися в нього теж.
Розробники браузерів користувачів відмовитися від встановлення сторонніх антивірусів, які заважають роботі браузерів та інших програм, проте масова аудиторія поки що не прислухається до закликів. На жаль, працюючи як прозорий проксі, багато антивірусів знижують якість криптографічного захисту на клієнтських комп'ютерах. З цією метою розробляються , які на стороні сервера визначають наявність MiTM, такого як антивірус, у каналі між клієнтом та сервером.
Так чи інакше, але в даному випадку антивіруси знову завадили роботі браузера, і Firefox не залишилося нічого іншого, як вирішувати проблему зі свого боку. У конфігах браузері є налаштування security.enterprise_roots.enabled. Якщо активувати цей прапор, Firefox почне використовувати сховище сертифікатів Windows для валідації SSL-з'єднань. Якщо у когось при відвідуванні сайтів HTTPS виникають вищезгадані помилки, то можна або вимкнути сканування SSL-з'єднань в антивірусі, або вручну встановити цей прапор у налаштуваннях браузера.
проблема у баг-трекері Mozilla. Розробники вирішили з метою експерименту активувати прапор security.enterprise_roots.enabled за промовчанням, щоб сховище сертифікатів Windows використовувалося без додаткових дій користувача. Це станеться з версії Firefox 66 на системах Windows 8 та Windows 10, на яких встановлені сторонні антивіруси (визначати наявність антивірусу в системі API дозволяють лише з версії Windows 8).
Джерело: habr.com