فایرفاکس به‌طور خودکار به گواهی‌نامه‌های CA نصب‌شده در سیستم عامل اعتماد می‌کند تا از بروز خطاهای TLS جلوگیری کند

موزیلا درنهایت سازوکاری را معرفی کرد تا به مرورگر فایرفاکس اجازه دهد که به‌طور خودکار خطاهای TLS را رفع کند. خطاهای TLS اغلب هنگامی رخ می‌دهند که نرم‌افزار ضد بدافزار نصب‌شده در یک سیستم تلاش می‌کند تا به ارتباطات امن HTTPS نفوذ کند. بسیاری از نرم‌افزارهای ضد بدافزار یک ویژگی امنیت وب ارائه می‌دهند که به ارتباطات HTTPS رمزنگاری‌شده نفوذ می‌کند تا بر محتوای صفحات وب مخرب قبل از رسیدن به مرورگر وب نظارت کند.

برای رسیدن به این هدف، نرم‌افزار امنیتی گواهی‌نامه‌های TLS وب‌گاه‌ها را با گواهی‌نامه‌های دیجیتال خود که توسط یک مرجع صدور گواهی (CA) صادر شده است، جایگزین می‌کند. از آن‌جا که موزیلا تنها به CAهایی اعتماد می‌کند که در فروشگاه روت آن فهرست شده است، محصولات ضد بدافزاری بر سایر CAهای قابل اطمینان ارائه‌شده توسط سیستم عامل تکیه می‌کنند که اجازه‌ی نفوذ به ارتباطات HTTPS در فایرفاکس را ندارند.

در ماه‌های اخیر، این محدودیت به‌طور مداوم صفحات HTTPS بسیاری از کاربران فایرفاکس را خراب کرد و هنگامی که نرم‌افزار ضدبدافزار آن‌ها تلاش می‌کرد تا از طریق اضافه کردن گواهی‌نامه‌ی روت خود به فروشگاه فایرفاکس، به صفحه‌ای‌ با HTTPS فعال نفوذ کند، کدهای خطای SEC_ERROR_UNKNOWN_ISSUER، MOZILLA_PKIX_ERROR_MITM_DETECTED یا ERROR_SELF_SIGNED_CERT را به آن‌ها نشان داد.

از فایرفاکس نسخه‌ی ۸۶، این مرورگر به‌منظور فراهم کردن امکان رفع این مسأله برای کاربران، به‌طور خودکار «enterprise roots» را فعال می‌کند و هر زمان که یک خطای TLS مرد میانی را شناسایی کند، برقراری اتصال را مجدداً انجام می‌دهد. فعال کردن تنظیمات «security.enterprise_roots.enabled» فایرفاکس را پیکربندی می‌کند تا با وارد کردن هر CA روتی که توسط کاربر، مدیر یا برنامه‌ی نصب‌شده در رایانه به سیستم عامل اضافه شده است، به گواهی‌نامه‌های موجود در فروشگاه گواهی سیستم عامل اعتماد کند.

به گفته‌ی این شرکت، این گزینه در ویندوز و MacOS در دسترس کاربران است. این شرکت همچنین به شرکت‌های ضدبدافزار توصیه می‌کند تا به جای اضافه کردن CA روت خود به فروشگاه روت فایرفاکس، enterprise roots را فعال کنند. علاوه‌برآن، این شرکت بیان می‌کند که در فایرفاکس ESR 68، تنظیمات enterprise roots به‌طور پیش‌فرض فعال خواهد بود.

به دلیل این‌که نسخه‌های پشتیبانی‌شده اغلب در تنظیمات سازمانی مورد استفاده قرار می‌گیرند، که در آن‌ها نیاز به فایرفاکس است تا CA داخلی خود سازمان را تشخیص دهد، این تغییر، روند گسترش فایرفاکس در میان مدیران را ساده‌تر می‌کند.

فایرفاکس بیان می‌کند که هر کاربر یا برنامه‌ای که توانایی اضافه کردن یک CA به سیستم عامل را داشته باشد، قطعاً توانایی اضافه کردن مستقیم همان CA به فروشگاه روت فایرفاکس را نیز دارد. همچنین به دلیل این‌که فایرفاکس تنها CAهایی را وارد می‌کند که در سیستم عامل نیستند، موزیلا این توانایی را دارد که بالاترین استانداردها را در CAهای قابل اعتمادی که فایرفاکس به‌طور پیش‌فرض از آن‌ها پشتیبانی می‌کند، تنظیم و اجرا کند.

به‌طور خلاصه، تغییراتی که ایجاد شده است، هدف تسهیل استفاده از فایرفاکس را بدون نقض امنیت برآورده می‌کند. علاوه‌براین، از فایرفاکس نسخه‌ی ۶۸ که قرار است در ۹ جولای منتشر شود، ویژگی‌های حساس دستگاه مانند دوربین و میکروفون برای کار با مرورگر به یک اتصال HTTPS نیاز خواهد داشت.

منبع

پست‌های مشابه

Leave a Comment