Nemohu ve Firefoxu 43 přistupovat na zabezpečené weby

Tento článek již není aktualizován, jeho obsah tedy může být neaktuální.

Firefox 43 obsahuje změnu a odmítá nové bezpečnostní certifikáty vystavené s použitím starého algoritmu nazývaného "SHA-1". Microsoft a Google brzy ve svých produktech provedou podobnou změnu. Od zavedení této změny ale někteří uživatelé Firefoxu s nainstalovanými nástroji třetích stran pozorují problémy při přístupu na zabezpečené webové stránky pomocí protokolu HTTPS, což bylo popsán například v tomto příspěvku na Mozilla Security Blogu. Tento článek vysvětluje, jak ověřit, zda vás tento problém také postihuje, a pokud ano, jak jej vyřešit.

Čím je tento problém způsoben?

Některé nástroje zachycují a dešifrují váš zabezpečený internetový přenos a poskytují vám za to nějakou funkcionalitu. Může jít o nástroje pro bezpečnostní kontrolu nebo antivirové programy. Některé z nich pak vašemu prohlížeči poskytnou certifikát vystavený pomocí SHA-1. Pokud Firefox takový certifikát obdrží, spojení odmítne a zobrazí chybu SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED. Jelikož tyto nástroje zachycují veškeré HTTPS spojení a nahrazují skutečný certifikát za vlastní SHA-1, uvidíte tuto chybu na všech webových stránkách zabezpečených pomocí HTTPS, a to i když skutečný certifikát dané stránky SHA-1 nepoužívá.

Jak mohu ověřit, zda se mne to týká?

Pokud si můžete přečíst tento článek ve Firefoxu, vše je v pořádku. Nicméně pokud jinak vidíte chybu při pokusu o zobrazení HTTPS stránky (jako například https://support.mozilla.org nebo https://blog.mozilla.org), klepněte na chybové stránce na tlačítko Rozšířené. Pokud je v podrobnostech zobrazen chybový kód SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED, poté jste se bohužel stali obětí tohoto problému.

Jak mohu tento problém obejít?

Nejlepší cestou, jak tento problém obejít, je nainstalovat nejnovější verzi Firefoxu z této stránky, který obsahuje opravu. Instalační soubor je třeba stáhnout pomocí funkční kopie Firefoxu nebo pomocí jiného prohlížeče a ručně spustit. Pokud se vás tento problém skutečně týká, Firefox nebude moci aktualizace stahovat automaticky.

Varování: Uživatelům používajícím Windows XP a Windows Vista aktuálně nemusí být nabídnuta nejnovější verze na stránce pro stažení Firefoxu. Postupujte tedy prosím následovně:
  1. Do adresního řádku zadejte about:config a stiskněte klávesu EnterReturn.
    Může se zobrazit upozornění. Pokračovat na stránku about:config budete po kliknutí na tlačítko Beru na vědomí a chci pokračovat.
  2. Na stránce about:config vyhledejte předvolbu security.pki.sha1_enforcement_level.
  3. Dvojklepnutím na předvolbu security.pki.sha1_enforcement_level změňte její hodnotu na 0.
  4. Zavřete stránku about:config a restartujte Firefox, aby se změna projevila.

Jaké je správné řešení tohoto problému?

Tento problém je způsoben programy tětích stran, které používáte, a které zachycují šifrované spojení z vašeho prohlížeče. Během toho nahrazují certifikát webové stránky svým vlastním certifikátem s SHA-1 podpisem. Abyste se problémům s SHA-1 certifikáty vyhnuli i v budoucnu, měli byste zkusit najít nástroj, který SHA-1 certifikáty používá (bude to pravděpodobně bezpečnostní skener nebo antivirový program) a nastavit jej tak, aby používal silnější algoritmus pro podpis certifikátu. Také se ujistěte, že všechny programy, které používáte a které do komunikace zasahují způsobem man-in-the-middle, jsou pravidelně aktualizovány.

S napsáním tohoto článku pomohli tihle úžasní lidé:

soucet, Michal Stanke
Illustration of hands

Zapojte se

Rozvíjejte a sdílejte své znalosti s ostatními. Odpovídejte na dotazy a vylepšujte naše články nápovědy.

Zjistit více