Firefox (wersja od 58) po aktualizacji wyświetla – Połączenie nie jest bezpieczne

Firefox – po aktualizacji do wersji 58 przestał prawidłowo wyświetlać strony w bezpiecznym połączeniu (nie można wyświetlić strony https).

Problem wystąpi tylko u użytkowników posiadających oprogramowanie antywirusowe, które skanuje połączenia szyfrowane.

W takim przypadku program antywirusowy rozpakowuje szyfrowany ruch (SSL/TLS), skanuje zawartość a następnie szyfruje z użyciem swojego certyfikatu.
To właśnie ten mechanizm powoduje problem, ponieważ Mozilla postanowiła pominąć niektóre certyfikaty (root CA) w najnowszej wersji Firefoxa.
U mnie wystąpił problem z oprogramowaniem: Kaspersky Internet Security, ale widziałem posty użytkowników innych programów antywirusowych proszących o pomoc: avasta, pandy.

W obecnych czasach wszystkie strony dążą do zabezpieczenia komunikacji lub podniesienia swojej pozycji w google poprzez wymuszanie połączeń https.Firefox połączenie nie jest bezpieczne - https problem między przeglądarką a kasperskym

Jeżeli masz problem z wyświetleniem strony w Firefox 58 lub wyższym, która wymusza https np:

  • facebook.com
  • google.com, google.pl
  • onet.pl
  • wp.pl
  • youtube.com

ale zadziała nieszyfrowana strona http://chip.pl to dobrze trafiłeś.

Wyświetlany komunikat (program antywirusowy Kaspersky Internet Security):

Połączenie nie jest bezpieczne

Właściciel witryny www.youtube.com niepoprawnie ją skonfigurował. Program Firefox nie połączył się z nią, aby chronić użytkownika przed kradzieżą informacji.
Ta strona określa poprzez HSTS (HTTP Strict Transport Security), że program Firefox ma się z nią łączyć jedynie w sposób bezpieczny. W związku z tym, dodanie wyjątku dla tego certyfikatu jest niemożliwe.

Rozwiązaniem jest nakłonienie Firefoxa do korzystania z dodatkowego magazynu certyfikatów jakim jest magazyn systemu windows (Windows Certificate Store), ręczny import certyfikatu (root CA kasperskiego) kończył się sukcesem, ale na liście zaufanych certyfikatów Firefoxa ten certyfikat się nie pojawił (It’s not a bug, it’s a feature ;-) ).
Systemowy magazyn certyfikatów powinien zawierać wymagany do poprawnej pracy mechanizmu certyfikat.

Rozwiązanie, opis dla osób bez tajemnej wiedzy magicznej ;-)

Otwieramy okno konfiguracji about:config (należy wpisać i potwierdzić ten ciąg w polu paska adresu).
Następnie odnajdujemy na liście  za pomocą opcji szukaj wpis security.enterprise_roots.enabled.
Zmieniamy jego wartość na TRUE. Możesz już otwierać strony, które są skanowane przez kasperskiego.

zaawansowana konfiguracja firefox-a

firefox root CA z windows store

kaspersky ssl scan

Niektórzy uważają, że do szyfrowanego ruchu nie powinien zaglądać obcy program, nawet antywirusowy (tym bardziej made in .RU).

Hakujący Kasperskiego Izraelczycy zauważyli, że Kasperski został już zhackowany przez Rosjan, którzy hakują przy jego pomocy Amerykanów.
Może to jest powód, dla którego Mozilla wycofała część certyfikatów. Szkoda jednak, że próba wyświetlenia strony lub ręcznego importu certyfikatu nie daje jasnego komunikatu. Na stronach/forach/ systemach zgłoszeniowych Mozilli/Firefoxa również nie znalazłem informacji na temat wycofania tych certyfikatów.

Jeszcze jedna ciekawostka dotycząca skanowania przez AV treści przesyłanej przez https.

Mozilla Firefox w przeciwieństwie do Google Chrome uważa, że część domen jest zaufana i nie należy skanować jej zawartości ze względu na możliwość pozyskania danych wrażliwych przez firmy produkujące oprogramowanie zabezpieczające. Wszystkie systemy np. bankowości elektronicznej jakie kojarzę w Firefoxie nie były rozprute z pierwotnego TLSa przez AV, w przeciwieństwie do Chrome. Myślę, że jest to fajnie wypracowany kompromis dla podejrzliwych użytkowników. Całkowite wyłączenie skanowania połaczeń szyfrowanych przez osłony WWW jest możliwe w każdym AV, ale chyba mija się z celem. Certyfikat nie gwarantuje, że strona jest bezpieczna od szkodliwych treści, a wręcz może posłużyć do ukrycia szkodliwego kodu przed AV.

 

 

2 thoughts on “Firefox (wersja od 58) po aktualizacji wyświetla – Połączenie nie jest bezpieczne

  • 27 czerwca 2018 at 10:29
    Permalink

    Dzięki za ratunek!! :-)

  • 9 czerwca 2018 at 20:48
    Permalink

    Bardzo pomocny wpis! Teraz strony smigaja ;)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*