Firefox 43 obsahuje změnu a odmítá nové bezpečnostní certifikáty vystavené s použitím starého algoritmu nazývaného "SHA-1". Microsoft a Google brzy ve svých produktech provedou podobnou změnu. Od zavedení této změny ale někteří uživatelé Firefoxu s nainstalovanými nástroji třetích stran pozorují problémy při přístupu na zabezpečené webové stránky pomocí protokolu HTTPS, což bylo popsán například v tomto příspěvku na Mozilla Security Blogu. Tento článek vysvětluje, jak ověřit, zda vás tento problém také postihuje, a pokud ano, jak jej vyřešit.
Obsah
Čím je tento problém způsoben?
Některé nástroje zachycují a dešifrují váš zabezpečený internetový přenos a poskytují vám za to nějakou funkcionalitu. Může jít o nástroje pro bezpečnostní kontrolu nebo antivirové programy. Některé z nich pak vašemu prohlížeči poskytnou certifikát vystavený pomocí SHA-1. Pokud Firefox takový certifikát obdrží, spojení odmítne a zobrazí chybu SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED. Jelikož tyto nástroje zachycují veškeré HTTPS spojení a nahrazují skutečný certifikát za vlastní SHA-1, uvidíte tuto chybu na všech webových stránkách zabezpečených pomocí HTTPS, a to i když skutečný certifikát dané stránky SHA-1 nepoužívá.
Jak mohu ověřit, zda se mne to týká?
Pokud si můžete přečíst tento článek ve Firefoxu, vše je v pořádku. Nicméně pokud jinak vidíte chybu při pokusu o zobrazení HTTPS stránky (jako například https://support.mozilla.org nebo https://blog.mozilla.org), klepněte na chybové stránce na tlačítko . Pokud je v podrobnostech zobrazen chybový kód SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED, poté jste se bohužel stali obětí tohoto problému.
Jak mohu tento problém obejít?
Nejlepší cestou, jak tento problém obejít, je nainstalovat nejnovější verzi Firefoxu z této stránky, který obsahuje opravu. Instalační soubor je třeba stáhnout pomocí funkční kopie Firefoxu nebo pomocí jiného prohlížeče a ručně spustit. Pokud se vás tento problém skutečně týká, Firefox nebude moci aktualizace stahovat automaticky.
- Do adresního řádku zadejte about:config a stiskněte klávesu EnterReturn.
Může se zobrazit upozornění. Pokračovat na stránku about:config budete po kliknutí na tlačítko . - Na stránce about:config vyhledejte předvolbu security.pki.sha1_enforcement_level.
- Dvojklepnutím na předvolbu security.pki.sha1_enforcement_level změňte její hodnotu na 0.
- Zavřete stránku about:config a restartujte Firefox, aby se změna projevila.
Jaké je správné řešení tohoto problému?
Tento problém je způsoben programy tětích stran, které používáte, a které zachycují šifrované spojení z vašeho prohlížeče. Během toho nahrazují certifikát webové stránky svým vlastním certifikátem s SHA-1 podpisem. Abyste se problémům s SHA-1 certifikáty vyhnuli i v budoucnu, měli byste zkusit najít nástroj, který SHA-1 certifikáty používá (bude to pravděpodobně bezpečnostní skener nebo antivirový program) a nastavit jej tak, aby používal silnější algoritmus pro podpis certifikátu. Také se ujistěte, že všechny programy, které používáte a které do komunikace zasahují způsobem man-in-the-middle, jsou pravidelně aktualizovány.