Как отключить параметр Enterprise Roots
Firefox может отображать ошибку TLS-соединения, когда антивирусная программа препятствует отправке данных в ваш браузер. Это происходит, когда ваше антивирусное программное обеспечение не может зарегистрироваться в Firefox в качестве действующего издателя TLS-сертификатов.
В качестве решения проблемы Mozilla добавила параметр Enterprise Roots в Firefox. Это параметр можно использовать для импорта любых корневых центров сертификации (CA), которые были добавлены в операционную систему для устранения ошибки TLS-подключения. Вы можете определить, использует ли веб-сайт корневой сертификат, нажав значок 
Информация о сайте в адресной строке.
Начиная с Firefox версии 68, когда возникает ошибка TLS-соединения, Firefox автоматически активирует параметр Enterprise Roots и пытается подключиться снова. Если проблема устранена, то параметр Enterprise Roots остаётся включённым. Однако вы можете отключить это поведение, поэтому в этой статье объясняется, как это сделать, без ущерба для безопасности.
Вы можете изменить такое поведение и запретить Firefox автоматически включать импорт CA, которые были добавлены в операционную систему при возникновении ошибки TLS-соединения, следующим образом:
Чтобы предотвратить автоматический импорт CA, добавленных в операционную систему, каждый раз при перезапуске Firefox:
Эти прекрасные люди помогли написать эту статью:
Станьте волонтёром
Растите и делитесь опытом с другими. Отвечайте на вопросы и улучшайте нашу базу знаний.
В Firefox исправлена проблема, вызывавшая проблемы с антивирусами при посещении HTTPS-сайтов
Linux для хакера
Разработчики Firefox сообщают, что с релизом 68 версии в браузере будет исправлена проблема с антивирусами, возникшая из-за того, как браузер хранит сертификаты.
По информации специалистов Mozilla Certificate Authority, начиная с Firefox 68, в браузере автоматически включится параметр в about: config, снижающий вероятность возникновения сбоев в работе защитного ПО при посещении HTTPS-сайтов. Этим параметром станет security.enterprise_roots.enabled, который браузер установит в значение true, обнаружив сбой типа Man-in-the-Middle TLS — типичная ошибка, возникающая, когда антивирус пытается и не может перехватить соединение с HTTPS-сайтом.
Включение данного параметра поможет Firefox автоматически импортировать все корневые сертификаты, добавленные к корневым сертификатам по умолчанию, включенным в ОС. Как правило, такие сертификаты устанавливают антивирусы и другие защитные решения.
Проблема с сертификатами возникла более полугода тому назад, после релиза Firefox 65. Дело в том, что браузер использует свое собственное хранилище корневых сертификатов, содержащее список «утвержденных сертификатов», который отличается от того списка, которым управляет ОС. В итоге получилось, что для успешного перехвата и анализа HTTPS-трафика на предмет вредоносных программ или подозрительных URL защитным решениям нужно добавить свой сертификат в Firefox. Иначе могут возникать ошибки. Чаще всего такие сбои проявляются, когда антивирус не может добавить свой корневой сертификат в Firefox, и выглядят они как типичная страница ошибки MITM HTTPS (TLS), как на приведенной ниже иллюстрации.
Прошлой зимой из-за проблем в работе продуктов AVG и Avast инженеры Mozilla даже были вынуждены приостановить распространение Firefox 65. Позже были обнаружены проблемы в работе и других антивирусных решений.
Теперь разработчики рассказали, что долго думали над оптимальным способом решения данного вопроса. В частности, сначала инженеры хотели добавить кнопку «Исправить» прямо на страницу ошибки, чтобы пользователи могли нажать ее, автоматически активировать параметр enterprise roots и импортировать дополнительные корневые сертификаты из хранилища ОС.
В итоге от кнопки все же решили отказаться, заменив ее автоматизированным решением. Теперь каждый раз, когда Firefox будет обнаруживать ошибку MITM, браузер автоматически включит enterprise roots и попытается установить соединение еще раз. Если это помогло решить проблему, enterprise roots останется активным, если только пользователь вручную не установит значение security.enterprise_roots.enabled на false.
При этом разработчики поспешили успокоить пользователей и уверяют, что автоматический импорт корневых сертификатов из хранилища ОС в Firefox не представляет опасности.
«Любой пользователь или программа, у которых есть возможность добавить CA в ОС, почти наверняка также имеет возможность добавить тот же CA непосредственно в корневое хранилище Firefox. Изменения, которые мы вносим, облегают использование Firefox без ущерба для безопасности», — отмечают инженеры Mozilla.
Firefox станет импортировать корневые сертификаты Windows, чтобы избежать проблем с антивирусами
Во время посещения сайтов в Интернете браузер Firefox будет проверять SSL сертификат сайта, используя встроенное хранилище корневых сертификатов, вместо того, что использовать хранилище Windows. Данная мера позволяет Mozilla самостоятельно решать, какие сертификаты можно считать доверенными.
С выходом Firefox 65 в феврале 2019 года, пользователи, посещающие ресурсы в Интернете, стали получать ошибки «Ваше подключение не защищено» или «SEC_ERROR_UNKNOWN_ISSUER».
Оказалось, что данные ошибки возникали из-за того, что антивирусные программы, такие как Avast, Bitdefender и Kaspersky, устанавливали собственные сертификаты в Firefox, чтобы проводить сканирование SSL канала.
Чтобы антивирусный движок мог проводить проверку SSL подключений, программа безопасности должна установить собственные сертификаты в хранилища Firefox и Windows. Проблема, обнаруженная в Firefox 65, приводила к некорректной обработке сертификатов антивирусов и вызывала отображение сообщение об ошибке.
После релиза Firefox 65 пользователям было доступно два обходных решения: либо отключить сканирование SSL в антивирусе и подвергнуть себя дополнительным рискам безопасности, либо активировать флаг security.enterprise_roots.enabled, чтобы принудительно использовать хранилище сертификатов Windows для проверки SSL подключений в Firefox.
Команда разработчиков Mozilla, отвечающих за безопасность, пришла к выводу, что проблемы с антивирусами можно избежать, если использовать хранилище сертификатов Windows по умолчанию. Вследствие этого, Mozilla запустила эксперимент, включив параметр security.enterprise roots.enabled в Firefox по умолчанию, а значит при запуске браузера происходит импорт корневых сертификатов Windows.
В данном эксперименте участвуют пользователи Windows 10 и Windows 8.1, в системе которых зарегистрирована отличная от Защитника Windows антивирусная программа и флаг security.enterprise_roots.enabled отключен.
Если в рамках эксперимента не будут выявлены дополнительные ошибки, то данный параметр конфигурации будет использоваться по умолчанию в будущих версиях Firefox.
Setting Up Certificate Authorities (CAs) in Firefox
If your organization uses private certificate authorities (CAs) to issue certificates for your internal servers, browsers such as Firefox might display errors unless you configure them to recognize these private certificates. This should be done early on so your users won’t have trouble accessing websites.
You can add these CA certificates using one of the following methods.
Using policies to import CA certificates (recommended)
Starting with Firefox version 64, an enterprise policy can be used to add CA certificates to Firefox.
Using built-in Windows and MacOS support
Setting the «security.enterprise_roots.enabled» preference to true in about:config will enable the Windows and MacOS enterprise root support.
Windows Enterprise Support
Starting with version 49, Firefox can be configured to automatically search for and import CAs that have been added to the Windows certificate store by a user or administrator.
Firefox will inspect the HKLM\SOFTWARE\Microsoft\SystemCertificates registry location (corresponding to the API flag CERT_SYSTEM_STORE_LOCAL_MACHINE) for CAs that are trusted to issue certificates for TLS web server authentication. Any such CAs will be imported and trusted by Firefox, although they may not appear in Firefox’s certificate manager. Administration of these CAs should occur using built-in Windows tools or other 3rd party utilities.
Firefox version 52: Firefox will also search the registry locations HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates and HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (corresponding to the API flags CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY and CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE, respectively).
MacOS Enterprise Support
Starting with Firefox 63, this feature also works for MacOS by importing roots found in the MacOS system keychain.
Linux
Certificates can be programmatically imported by using p11-kit-trust.so from p11-kit (add the module using the “Security Devices” manager in Preferences or using the modutil utility).
Preload the Certificate Databases (new profiles only)
Some people create a new profile in Firefox, manually install the certificates they need, and then distribute the various db files (cert9.db, key4.db and secmod.db) into new profiles using this method. This is not the recommended approach, and this method only works for new profiles.
Certutil
You can use certutil to update the Firefox certificate databases from the command line. Check the Microsoft support site for more information.
These fine people helped write this article:
Volunteer
Grow and share your expertise with others. Answer questions and improve our knowledge base.
Разрешаем Firefox использовать корневые сертификаты Windows
Разрешаем Firefox использовать корневые сертификаты Windows
Вступление
Однако, в Firefox можно настроить использование сертификатов из хранилища сертификатов операционной системы Windows. Сделать это можно двумя путями, и ниже будет рассказано о каждом из них.
Редактирование настроек
Использование файла js
Браузер Firefox, при своем запуске, проверяет наличие файлов js по адресу директория установки Firefox\defaults\pref, и если их обнаруживает, то подгружает прописанные в них настройки. Так что достаточно лишь создать файл wincerts.js, и вписать в него следующее:
и сохранить по адресу директория установки Firefox\defaults\pref. Теперь остается лишь перезапустить браузер, и он будет по умолчанию подхватывать корневые сертификаты Windows.
Была ли эта статья Вам полезна?
Комментарии к статье (5)
Не работает на версии 74.0.1 (64-битный)
После проведения подобной настройки FF перестает воспринимать своё хранилище, или использует и то и другое хранилище?
Точной информацией я не располагаю, но скорее всего Firefox использует оба хранилища сертификатов.
Спасибо за материал.
К сожалению, проверить все это я не могу, но:
Еще уточню, что судя по всему, работает эта опция только с Windows.
