В Firefox 43 включены изменения, которые отклоняют новые сертификаты безопасности, сформированные с помощью старого алгоритма под названием "SHA-1". Microsoft и Google в скором времени проведут аналогичные изменения в своих продуктах. После этих изменений некоторые пользователи Firefox, у которых установлены определённые сторонние программы, столкнулись с проблемами доступа к веб-сайтам с защищенным соединением (HTTPS), что было обобщено в этой статье в блоге Mozilla Security. Эта статья объясняет, как узнать, не коснулась ли вас эта проблема, и если да, то как её решить.
Оглавление
Что вызывает эту проблему?
Некоторые инструменты перехватывают ваш защищённый интернет-трафик, чтобы расшифровать защищённые сеансы и предоставить вам определенную функциональность. Эти инструменты могут включать в себя сканеры безопасности или антивирусные программы. Некоторые из этих инструментов предоставляют вашему браузеру сертификат SHA-1. Когда Firefox сталкивается с таким сертификатом, он разрывает соединение, и показывает вам ошибку SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED. Так как эти инструменты безопасности перехватывают все HTTPS-сеансы и заменяют реальный сертификат на сертификат SHA-1, вы увидите эту ошибку на всех сайтах HTTPS, даже если реальный сертификат сайта не использует SHA-1.
Как я могу узнать, коснулось ли это меня?
Если у вас есть доступ к этой статье в Firefox, то всё в порядке. Тем не менее, если вы видите страницу с ошибкой при попытке получить доступ к HTTPS-сайтам (например: Служба поддержки Firefox или Лента новостей Firefox), нажмите кнопку на странице с ошибкой. Если вы увидите код ошибки SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED, то вы из числа тех, кого затронула эта проблема.
Что я могу сделать, чтобы обойти эту проблему?
Лучший способ - установить последнюю версию Firefox со страницы загрузок Firefox, которая исправит эту проблему. Вам нужно будет скачать и запустить инсталлятор Firefox вручную, используя незатронутую этой проблемой копию Firefox или с помощью другого браузера. Если у вас появилась это проблема, то ваш Firefox не сможет в дальнейшем автоматически обновляться.
- Введите about:config в адресной строке и нажмите EnterReturn.
Может появиться страница с предупреждением. Нажмите , чтобы перейти на страницу about:config. - На странице about:config, найдите строку security.pki.sha1_enforcement_level.
- Двойным щелчком мыши по настройке security.pki.sha1_enforcement_level установите её значение в 0.
- Закройте страницу about:config и перезапустите Firefox для применения настройки.
Каково правильное решение этой проблемы?
Эта проблема возникает потому, что используемые вами сторонние приложения перехватывают защищённые соединения, произведенные вашим браузером. При этом, они заменяют сертификат веб-сайта на сертификат, использующий подпись SHA-1. Чтобы избежать проблем с SHA-1 сертификатами в будущем, вы должны попытаться определить инструмент, который предоставляет SHA-1 сертификаты (это, вероятно, будет сканер безопасности или антивирусная программа) и сконфигурировать его на использование более сильного алгоритма обзора подписи. Вы также должны убедиться, что любые используемые вами продукты, которые могут применять подход человек-по-середине, находятся в актуальном состоянии.
