Wersja 43 Firefoksa zawierała zmianę, polegającą na odrzucaniu nowych certyfikatów bezpieczeństwa korzystających z przestarzałego algorytmu o nazwie "SHA-1". Microsoft i Google wprowadziły taką samą zmianę w ich przeglądarkach. Od chwili tej zmiany, niektórzy użytkownicy Firefoksa korzystają z niektórych narzędzi innych firm napotykali na problemy z otwieraniem zabezpieczonych stron (HTTPS), tak jak opisane zostało to w tym wpisie na oficjalnym blogu Mozilli o bezpieczeństwie (w jęz. angielskim). Poniżej znajdziesz informacje pomagające ustalić, czy ten problem cię dotyczy i jak go rozwiązać.
Spis treści
Co wywołuje ten problem?
Niektóre narzędzia przechwytują ruch internetowy, by rozszyfrować zabezpieczone sesje, w zamian oferując dodatkową funkcjonalność. Niektóre z tych narzędzi są związane z zabezpieczeniem twojego komputera przed złośliwym oprogramowaniem. Niektóre z tych narzędzi korzystają z certyfikatu wygenerowanego za pomocą SHA-1. Kiedy Firefox napotyka na certyfikat tego typu, odrzuca połączenie, wyświetlając komunikat błędu SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED. Ponieważ te narzędzia przechwytują wszystkie sesje HTTPS i zastępują prawdziwy certyfikat certyfikatem SHA-1, powyższy błąd będzie się pojawiał na wszystkich stronach HTTPS, nawet jeśli prawdziwy certyfikat strony nie korzysta z SHA-1.
Jak to wpływa na moje korzystanie z sieci?
Jeśli czytasz treść tej strony w Firefoksie, wszystko jest w porządku. Jeśli widzisz stronę z komunikatem błędu podczas próby otwarcia strony HTTPS (takiej jak https://support.mozilla.org lub https://blog.mozilla.org), kliknij na stronie błędu. Jeśli widzisz kod błędu SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED, masz problem wymagający rozwiązania.
Co mogę zrobić z tym problemem?
Najlepszym rozwiązaniem jest instalacja najnowszej wersji Firefoksa z oficjalnej strony pobierania Firefoksa, zawierającej poprawkę usuwającą ten problem. Musisz pobrać i uruchomić instalator Firefoksa własnoręcznie, przy użyciu sprawnie działającego Firefoksa lub też innej przeglądarki - Firefox nie będzie w stanie wykonać automatycznej aktualizacji, jeśli masz do czynienia z wyżej wymienionym problemem.
- Wpisz about:config w pasku adresu i wciśnij klawisz EnterReturn.
Może wyświetlić się strona z ostrzeżeniem. Naciśnij przycisk , aby przejść na stronę about:config. - Na stronie about:config wyszukaj ustawienie security.pki.sha1_enforcement_level.
- Kliknij dwukrotnie ustawienie security.pki.sha1_enforcement_level o zmień jego wartość na 0.
- Zamknij stronę about:config i ponownie uruchom Firefoksa, by wprowadzona przez ciebie zmiana zaczęła działać.
Czy istnieje lepsze rozwiązanie tego problemu?
Problem ten występuje, ponieważ zainstalowana aplikacja autorstwa innej firmy przechwytuje bezpieczne połączenia z twojej przeglądarki. Podczas tego przechwytywania, certyfikat strony zostaje zastąpiony certyfikatem korzystającym z algorytmu SHA-1. Aby uniknąć przyszłych problemów z certyfikatami SHA-1, zalecamy znalezienie oprogramowania korzystającego z tych certyfikatów (zazwyczaj będzie to oprogramowanie zabezpieczające) i takie skonfigurowanie jego ustawień, by korzystało z mocniejszego algorytmu. Zalecamy również poprawną identyfikację oprogramowania korzystającego z algorytmu SHA-1. Upewnij się również, że wszystkie używane przez ciebie programy podatne na atak typu man-in-the-middle są aktualne.
