Разработчики Firefox сообщают, что с релизом 68 версии в браузере будет исправлена проблема с антивирусами, возникшая из-за того, как браузер хранит сертификаты.
По информации специалистов Mozilla Certificate Authority, начиная с Firefox 68, в браузере автоматически включится параметр в about: config, снижающий вероятность возникновения сбоев в работе защитного ПО при посещении HTTPS-сайтов. Этим параметром станет security.enterprise_roots.enabled, который браузер установит в значение true, обнаружив сбой типа Man-in-the-Middle TLS — типичная ошибка, возникающая, когда антивирус пытается и не может перехватить соединение с HTTPS-сайтом.
Включение данного параметра поможет Firefox автоматически импортировать все корневые сертификаты, добавленные к корневым сертификатам по умолчанию, включенным в ОС. Как правило, такие сертификаты устанавливают антивирусы и другие защитные решения.
Проблема с сертификатами возникла более полугода тому назад, после релиза Firefox 65. Дело в том, что браузер использует свое собственное хранилище корневых сертификатов, содержащее список «утвержденных сертификатов», который отличается от того списка, которым управляет ОС. В итоге получилось, что для успешного перехвата и анализа HTTPS-трафика на предмет вредоносных программ или подозрительных URL защитным решениям нужно добавить свой сертификат в Firefox. Иначе могут возникать ошибки. Чаще всего такие сбои проявляются, когда антивирус не может добавить свой корневой сертификат в Firefox, и выглядят они как типичная страница ошибки MITM HTTPS (TLS), как на приведенной ниже иллюстрации.
Прошлой зимой из-за проблем в работе продуктов AVG и Avast инженеры Mozilla даже были вынуждены приостановить распространение Firefox 65. Позже были обнаружены проблемы в работе и других антивирусных решений.
Теперь разработчики рассказали, что долго думали над оптимальным способом решения данного вопроса. В частности, сначала инженеры хотели добавить кнопку «Исправить» прямо на страницу ошибки, чтобы пользователи могли нажать ее, автоматически активировать параметр enterprise roots и импортировать дополнительные корневые сертификаты из хранилища ОС.
В итоге от кнопки все же решили отказаться, заменив ее автоматизированным решением. Теперь каждый раз, когда Firefox будет обнаруживать ошибку MITM, браузер автоматически включит enterprise roots и попытается установить соединение еще раз. Если это помогло решить проблему, enterprise roots останется активным, если только пользователь вручную не установит значение security.enterprise_roots.enabled на false.
При этом разработчики поспешили успокоить пользователей и уверяют, что автоматический импорт корневых сертификатов из хранилища ОС в Firefox не представляет опасности.
«Любой пользователь или программа, у которых есть возможность добавить CA в ОС, почти наверняка также имеет возможность добавить тот же CA непосредственно в корневое хранилище Firefox. Изменения, которые мы вносим, облегают использование Firefox без ущерба для безопасности», — отмечают инженеры Mozilla.
