Хранилище сертификатов Firefox
С выходом Mozilla Firefox 65 в феврале 2019 года при подключении к сайтам HTTPS некоторые пользователи стали замечать ошибки типа “Your Connection is not secure” or “SEC_ERROR_UNKNOWN_ISSUER”. Причина оказалась в антивирусах типа Avast, Bitdefender и Kaspersky, которые для MiTM-внедрения в HTTPS-трафик пользователя устанавливают на компьютере свои корневые сертификаты. А поскольку у Firefox собственное хранилище сертификатов, то они пытаются внедриться в него тоже.
Разработчики браузеров давно призывают пользователей отказаться от установки сторонних антивирусов, которые мешают работе браузеров и других программ, однако массовая аудитория пока не прислушивается к призывам. К сожалению, работая в качестве прозрачного прокси, многие антивирусы снижают качество криптографической защиты на клиентских компьютерах. С этой целью разрабатываются инструменты обнаружения HTTPS-перехвата, которые на стороне сервера определяют наличие MiTM, такого как антивирус, в канале между клиентом и сервером.
Так или иначе, но в данном случае антивирусы опять помешали работе браузера, и Firefox не осталось ничего иного, кроме как решать проблему со своей стороны. В конфигах браузере есть настройка security.enterprise_roots.enabled. Если активировать этот флаг, то Firefox начнёт использовать хранилище сертификатов Windows для валидации SSL-соединений. Если у кого-то при посещении сайтов HTTPS возникают вышеупомянутые ошибки, то можно или отключить сканирование SSL-соединений в антивирусе, или вручную установить этот флаг в настройках браузера.
Проблема обсуждается в баг-трекере Mozilla. Разработчики приняли решение в целях эксперимента активировать флаг security.enterprise_roots.enabled по умолчанию, чтобы хранилище сертификатов Windows использовалось без дополнительных действий со стороны пользователя. Это произойдёт с версии Firefox 66 на системах Windows 8 и Windows 10, на которых установлены сторонние антивирусы (определять наличие антивируса в системе API позволяют только с версии Windows 8).
