موزیلا درنهایت سازوکاری را معرفی کرد تا به مرورگر فایرفاکس اجازه دهد که بهطور خودکار خطاهای TLS را رفع کند. خطاهای TLS اغلب هنگامی رخ میدهند که نرمافزار ضد بدافزار نصبشده در یک سیستم تلاش میکند تا به ارتباطات امن HTTPS نفوذ کند. بسیاری از نرمافزارهای ضد بدافزار یک ویژگی امنیت وب ارائه میدهند که به ارتباطات HTTPS رمزنگاریشده نفوذ میکند تا بر محتوای صفحات وب مخرب قبل از رسیدن به مرورگر وب نظارت کند.
برای رسیدن به این هدف، نرمافزار امنیتی گواهینامههای TLS وبگاهها را با گواهینامههای دیجیتال خود که توسط یک مرجع صدور گواهی (CA) صادر شده است، جایگزین میکند. از آنجا که موزیلا تنها به CAهایی اعتماد میکند که در فروشگاه روت آن فهرست شده است، محصولات ضد بدافزاری بر سایر CAهای قابل اطمینان ارائهشده توسط سیستم عامل تکیه میکنند که اجازهی نفوذ به ارتباطات HTTPS در فایرفاکس را ندارند.
در ماههای اخیر، این محدودیت بهطور مداوم صفحات HTTPS بسیاری از کاربران فایرفاکس را خراب کرد و هنگامی که نرمافزار ضدبدافزار آنها تلاش میکرد تا از طریق اضافه کردن گواهینامهی روت خود به فروشگاه فایرفاکس، به صفحهای با HTTPS فعال نفوذ کند، کدهای خطای SEC_ERROR_UNKNOWN_ISSUER، MOZILLA_PKIX_ERROR_MITM_DETECTED یا ERROR_SELF_SIGNED_CERT را به آنها نشان داد.
از فایرفاکس نسخهی ۸۶، این مرورگر بهمنظور فراهم کردن امکان رفع این مسأله برای کاربران، بهطور خودکار «enterprise roots» را فعال میکند و هر زمان که یک خطای TLS مرد میانی را شناسایی کند، برقراری اتصال را مجدداً انجام میدهد. فعال کردن تنظیمات «security.enterprise_roots.enabled» فایرفاکس را پیکربندی میکند تا با وارد کردن هر CA روتی که توسط کاربر، مدیر یا برنامهی نصبشده در رایانه به سیستم عامل اضافه شده است، به گواهینامههای موجود در فروشگاه گواهی سیستم عامل اعتماد کند.
به گفتهی این شرکت، این گزینه در ویندوز و MacOS در دسترس کاربران است. این شرکت همچنین به شرکتهای ضدبدافزار توصیه میکند تا به جای اضافه کردن CA روت خود به فروشگاه روت فایرفاکس، enterprise roots را فعال کنند. علاوهبرآن، این شرکت بیان میکند که در فایرفاکس ESR 68، تنظیمات enterprise roots بهطور پیشفرض فعال خواهد بود.
به دلیل اینکه نسخههای پشتیبانیشده اغلب در تنظیمات سازمانی مورد استفاده قرار میگیرند، که در آنها نیاز به فایرفاکس است تا CA داخلی خود سازمان را تشخیص دهد، این تغییر، روند گسترش فایرفاکس در میان مدیران را سادهتر میکند.
فایرفاکس بیان میکند که هر کاربر یا برنامهای که توانایی اضافه کردن یک CA به سیستم عامل را داشته باشد، قطعاً توانایی اضافه کردن مستقیم همان CA به فروشگاه روت فایرفاکس را نیز دارد. همچنین به دلیل اینکه فایرفاکس تنها CAهایی را وارد میکند که در سیستم عامل نیستند، موزیلا این توانایی را دارد که بالاترین استانداردها را در CAهای قابل اعتمادی که فایرفاکس بهطور پیشفرض از آنها پشتیبانی میکند، تنظیم و اجرا کند.
بهطور خلاصه، تغییراتی که ایجاد شده است، هدف تسهیل استفاده از فایرفاکس را بدون نقض امنیت برآورده میکند. علاوهبراین، از فایرفاکس نسخهی ۶۸ که قرار است در ۹ جولای منتشر شود، ویژگیهای حساس دستگاه مانند دوربین و میکروفون برای کار با مرورگر به یک اتصال HTTPS نیاز خواهد داشت.