Firefox та проблема прострочених сертифікатів

Раніше сертифікати часто закінчувалися через те, що їх потрібно було оновлювати вручну. Люди просто забували це зробити. З появою Let’s Encrypt і автоматичної процедури поновлення начебто проблема була вирішена. Але недавня історія з Firefox показує, що насправді вона як і раніше актуальна. На жаль, сертифікати продовжують “несподівано” спливати.

Опівночі 4 травня 2019 року раптово припинили працювати майже всі розширення Firefox.

Як з’ясувалося, масовий збій виник через те, що у Mozilla закінчився термін дії сертифіката, який використовувався для підпису розширень. Тому вони почали відзначатися як «невалідні» і не проходити перевірку. На форумах, як обхідний шлях, рекомендували відключити перевірку підписів розширень в about: config або перевести системний годинник.

Mozilla оперативно випустила патч Firefox 66.0.4, який вирішує проблему з невалідним сертифікатом, й всі розширення повертаються до нормального вигляду. Розробники рекомендують встановити його і не використовувати ніякі обхідні шляхи, тому що вони можуть конфліктувати з патчем.

Проте, ця історія ще раз показує, що закінчення строку дії сертифікатів залишається актуальною проблемою і сьогодні.

Рішення проблеми пропонує компанія DNSCrypt: користувачі отримують інформаційне попередження за 30 днів до закінчення терміну дії сертифіката, інше повідомлення з більш високим рівнем серйозності за 7 днів до закінчення терміну дії і критичне повідомлення, якщо у сертифіката залишилося менше 24 годин. Це відноситься тільки до сертифікатів, які мають тривалий термін дії.

Такі повідомлення дають користувачам можливість повідомити оператора DNS про майбутнє закінчення терміну дії сертифіката, поки не стало надто пізно.

Можливо, якби всі користувачі Firefox отримали таке повідомлення, то хтось з них напевно повідомив би розробника і той би не допустив закінчення терміну дії сертифіката.

Джерело: habr