Impossibile accedere ai siti sicuri (HTTPS) in Firefox 43

Questo articolo non è più mantenuto e il suo contenuto potrebbe essere obsoleto.

In Firefox 43 è stata inclusa una modifica per rifiutare i nuovi certificati di sicurezza creati utilizzando un algoritmo obsoleto chiamato "SHA-1". Prossimamente, anche Microsoft e Google effettueranno questa modifica per i loro prodotti. A causa di questa modifica, alcuni utenti Firefox che dispongono di determinati strumenti di terze parti, hanno riscontrato problemi di accesso ai siti web sicuri (HTTPS) come riassunto in questo post su Mozilla Security Blog (in inglese). Questo articolo spiega come verificare se si è interessati da questo problema e, in caso affermativo, come risolverlo.

Qual è la causa di questo problema

Alcuni strumenti intercettano il traffico Internet sicuro per decrittare le sessioni sicure dell'utente e offrirgli alcune funzionalità. Tra questi vi sono alcuni programmi per la sicurezza o i prodotti antivirus. Alcuni di questi programmi forniscono al browser utilizzato un certificato SHA-1. Quando in Firefox viene rilevato un certificato di questo tipo, la connessione viene rifiutata e viene mostrato l'errore SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED. Dal momento che questi programmi intercettano tutte le sessioni HTTPS e sostituiscono il vero certificato con un certificato SHA-1, questo errore verrà visualizzato su tutti i siti HTTPS anche se il vero certificato del sito non utilizza l'algoritmo SHA-1.

Come capire se si è interessati da questo specifico problema

Se si riesce ad accedere a questo articolo con Firefox, il browser non è soggetto a questo tipo di problema. Comunque, se si visualizza una pagina di errore quando si cerca di accedere a un sito HTTPS (come ad esempio https://support.mozilla.org o https://blog.mozilla.org), fare clic su Avanzate sulla pagina di errore. Se viene mostrato il codice di errore SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED, significa che il browser è soggetto a questo tipo di problema.

Come procedere per aggirare il problema

Il modo migliore per risolvere questo problema è quello di installare la versione più recente di Firefox dalla pagina per il download di Firefox, visto che nelle nuove versioni il problema è stato risolto. Sarà necessario effettuare il download ed eseguire un'installazione manuale di Firefox utilizzando una copia di Firefox non soggetta a tale problema o utilizzando un altro browser. Nel caso in cui la copia di Firefox utilizzata risulti interessata dal problema, il browser non sarà in grado di aggiornarsi automaticamente.

Attenzione: per gli utenti di Windows XP e Windows Vista, sulla pagina per il download di Firefox potrebbe non essere momentaneamente disponibile la versione più recente. Se si è interessati dal problema, seguire questa procedura:
  1. Digitare about:config nella Barra degli indirizzi e premere Invio.

    • Se compare il messaggio "Questa operazione potrebbe invalidare la garanzia", fare clic sul pulsante Farò attenzione, promettoAccetto i rischi per visualizzare la pagina di about:config.
  2. Nella pagina about:config, cercare la preferenza security.pki.sha1_enforcement_level.
  3. Fare doppio clic sulla preferenza security.pki.sha1_enforcement_level e impostare il suo valore su 0.
  4. Chiudere la pagina about:config e riavviare Firefox solamente una volta per far sì che questa modifica abbia effetto.

Qual è la soluzione corretta per questo problema

Questo errore si verifica perché un'applicazione di terze parti che si sta utilizzando intercetta le connessioni sicure fatte dal browser. Nel fare questo, l'applicazione sostituisce il certificato del sito web con un certificato che utilizza una firma SHA-1. Per evitare in futuro problemi con i certificati SHA-1, si dovrebbe cercare di individuare lo strumento che sta fornendo certificati SHA-1 (è probabile che si tratti di un programma per la sicurezza o di un prodotto antivirus) e configurarlo in modo tale che utilizzi un algoritmo di cifratura più forte. Si dovrebbe anche assicurarsi che tutti i prodotti che si stanno utilizzando e che potrebbero essere potenzialmente vulnerabili a un attacco di tipo man in the middle siano mantenuti aggiornati.

Utenti che hanno contribuito a scrivere questo articolo: Michele Rodaro. Tutti possono contribuire.