Firefox 68 adresuje antivirový konflikt přes zachytávání HTTPS

Vývojáři Mozilla Firefoxu se přiklánějí k nedávným snahám omezit antivirové produkty, které zachytí provoz protokolu HTTPS, aby jej zkontrolovaly na výskyt škodlivého softwaru.

Na jedné straně mohou antivirové produkty tuto techniku ​​použít k ochraně koncových uživatelů před škodlivým softwarem před tím, než se dostanou do prohlížeče. Na druhé straně, jak argumentuje Mozilla, protokol Transport Layer Security (TLS) pro zabezpečená HTTPS připojení k webovým stránkám má zabránit tomu, aby se tomu zabránilo použitím certifikátů vydaných certifikačními autoritami (CA), které jsou důvěryhodné operačním systémem nebo jeho případem. úložiště root.

Součástí snah Mozilly proti technikám, které antivirové produkty využívají ke kontrole provozu protokolu HTTPS, byly jeho nová varování v prohlížeči Firefox 66, že řekl uživatelům, když je jejich spojení s webem pravděpodobně přerušeno díky antivirovému produktu, který provádí člověka uprostřed útoku.

Tento problém se objevil poté, co Firefox 65 vyjel a uživatelé používající software Avast v systému Windows začali vidět varování „SEC_ERROR_UNKNOWN_ISSUER“. Další varování Firefox se nyní zobrazí v podobných situacích patří „MOZILLA_PKIX_ERROR_MITM_DETECTED“ nebo „ERROR_SELF_SIGNED_CERT“.

Aby se tento problém zastavil, Avast v té době zakázal filtrování HTTPS pro Firefox a ponechal jej povolen pro ostatní prohlížeče. Avast argumentuje technikou přepínání certifikátů kontrola provozu je platná a nezbytná.

Je to složitý problém vyřešit pro Mozillu, která chce odlišit funkce ochrany osobních údajů Firefoxu od nejdůležitějšího prohlížeče Windows, Google Chrome.

„V systému Windows spouští asi 60% uživatelů Firefoxu antivirový software a většina z nich má ve výchozím nastavení povolené funkce pro skenování HTTPS,“ řekl Wayne Thayer, programový manažer certifikační autority v Mozille.

Thayer vysvětluje hlavní problém z pohledu Mozilly je způsoben tím, že používá svůj vlastní seznam důvěryhodných certifikačních autorit, spíše než kořenový seznam certifikátů, který používají operační systémy, například Windows.

„Ostatní prohlížeče se často rozhodnou spoléhat na kořenové úložiště poskytované operačním systémem (OS) (např. Windows). To znamená, že antivirový software musí kromě operačního systému správně překonfigurovat Firefox, a pokud z nějakého důvodu selže, Firefox se nebude moci připojit k žádným webovým stránkám přes protokol HTTPS, i když ostatní prohlížeče ve stejném počítači mohou, “vysvětlil. Thayer.

Čtěte více: Firefox bere kladivo na oblíbený nástroj pro on-line marketingy: cross-site tracking

Ve Firefoxu 68, později v červenci, Mozilla změní svůj přístup automatizovaným postupem, který by měl z těchto problémů vytrhnout bolest. Dříve mohli správci IT povolit funkci a nastavení nazvané „koreny podniku“ na Windows a MacOS. To umožňuje Firefoxu importovat kořenové certifikační autority, které uživatel nebo správce přidali do operačního systému.

„Kdykoliv je detekována chyba MITM, Firefox automaticky zapne preferenci„ korporace “a zopakuje spojení,“ píše Thayer.

Předvolba „korporace“ zůstane zapnuta, pokud funguje, pokud uživatel ručně nezmění nastavení.

Mozilla také vyzývá výrobce antivirových programů, aby povolili tuto preferenci jako alternativu k přidání vlastního kořenového certifikačního úřadu do kořenového úložiště Firefoxu.

Čtěte více: Microsoft přináší ochranu proti útoku Edge na web Chrome a Firefox

„Věříme, že tyto akce společně zredukují problémy, se kterými se setkávají uživatelé Firefoxu,“ řekl Thayer.

původní článek

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.