Firefox 43 bevatte een wijziging die ervoor zorgt dat nieuwe beveiligingscertificaten die met behulp van een oud algoritme met de naam ‘SHA-1’ zijn gemaakt, worden geweigerd. Microsoft en Google zullen spoedig dezelfde wijziging in hun producten aanbrengen. Sinds deze wijziging hebben sommige Firefox-gebruikers met bepaalde hulpprogramma’s van derden problemen met de toegang tot beveiligde (HTTPS-)websites ondervonden, zoals uitgelegd in deze Mozilla Security-blogpost. Dit artikel legt uit hoe u kunt zien of dit probleem bij u van toepassing is, en zo ja, hoe u het kunt verhelpen.
Inhoudsopgave
Wat veroorzaakt dit probleem?
Sommige hulpprogramma’s onderscheppen uw beveiligde internetverkeer voor het ontsleutelen van uw beveiligde sessies en het leveren van bepaalde functionaliteiten. Zulke hulpprogramma’s kunnen beveiligingsscanners of antivirusproducten omvatten. Een aantal van deze hulpprogramma’s voorzien uw browser van een SHA-1-certificaat. Als Firefox een dergelijk certificaat tegenkomt, wordt de verbinding geweigerd en de foutmelding SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED weergegeven. Aangezien deze hulpprogramma’s alle HTTPS-sessies onderscheppen en het echte certificaat vervangen door een SHA-1-certificaat, zult u deze foutmelding op alle HTTPS-websites zien, zelfs als het echte certificaat van de website geen SHA-1 gebruikt.
Hoe weet ik of dit bij mij van toepassing is?
Als u dit artikel in Firefox kunt benaderen, hebt u hier geen last van. Als u echter een foutpagina ziet wanneer u een HTTPS-website probeert te bezoeken (zoals https://support.mozilla.org of https://blog.mozilla.org), klik dan in de foutpagina op . Als u de foutcode SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED ziet, is dit probleem bij u van toepassing.
Wat kan ik doen om dit probleem te omzeilen?
De beste manier om dit probleem te verhelpen is het installeren van de meest recente versie van Firefox vanaf de Firefox-downloadpagina, die een oplossing voor dit probleem bevat. U dient het installatieprogramma handmatig te downloaden en te installeren via een versie van Firefox die geen last heeft van dit probleem, of een andere browser. Als het probleem bij u van toepassing is, zal Firefox zichzelf niet automatisch kunnen bijwerken.
- Typ about:config in de adresbalk en druk op EnterReturn.
Er kan een waarschuwingspagina verschijnen. Klik op om naar de pagina about:config te gaan. - Zoek in de pagina about:config naar de voorkeur security.pki.sha1_enforcement_level.
- Dubbelklik op de voorkeur security.pki.sha1_enforcement_level en stel de waarde ervan in op 0.
- Sluit de pagina about:config en herstart Firefox eenmaal om deze wijziging van kracht te laten worden.
Wat is de juiste oplossing voor het probleem?
Dit probleem treedt op omdat een toepassing van derden die u gebruikt beveiligde verbindingen onderschept die door uw browser worden gemaakt. Door dit te doen, wordt het certificaat van de website vervangen door een certificaat dat gebruikmaakt van een SHA-1-handtekening. Om problemen met SHA-1-certificaten in de toekomst te vermijden, dient u te proberen het hulpprogramma dat SHA1-certificaten aanbiedt te identificeren (waarschijnlijk is dit een beveiligingsscanner of antivirusproduct) en dit te configureren voor het gebruik van een sterker digest-algoritme voor handtekeningen. U dient er altijd voor te zorgen dat gebruikte producten die een ‘man-in-the-middle’-benadering zouden kunnen hebben up-to-date worden gehouden.