Mozilla cuối cùng đã giới thiệu một cơ chế để cho phép trình duyệt Firefox tự động sửa một số lỗi TLS nhất định, thường được kích hoạt khi phần mềm chống vi-rút được cài đặt trên hệ thống cố gắng chặn các kết nối HTTPS an toàn.
Hầu hết các phần mềm chống vi-rút cung cấp tính năng bảo mật web chặn các kết nối HTTPS được mã hóa để giám sát nội dung cho các trang web độc hại trước khi truy cập trình duyệt web.
Để đạt được điều này, phần mềm bảo mật thay thế chứng chỉ TLS của trang web bằng chứng chỉ kỹ thuật số của riêng họ do bất kỳ Cơ quan chứng nhận (CA) đáng tin cậy nào cấp.
Do Mozilla chỉ tin tưởng các CA được liệt kê trong kho gốc của mình, nên các sản phẩm chống vi-rút dựa trên các CA đáng tin cậy khác do hệ điều hành (HĐH) cung cấp không được phép chặn các kết nối HTTPS trên Firefox.
Trong những tháng gần đây, việc chặn này liên tục làm sập các trang HTTPS đối với nhiều người dùng Firefox hiển thị cho họ mã chứng nhận SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED hoặc ERROR_SELF_SIGNED_CERT của họ
Để cho phép người dùng dễ dàng khắc phục sự cố này, bắt đầu với Firefox 68, trình duyệt giờ đây sẽ tự động kích hoạt tùy chọn “enterprise roots” và thử lại kết nối bất cứ khi nào phát hiện ra lỗi TLS “Man-in-the-Middle“.
Việc bật cài đặt “security.enterprise_roots.enabled” sẽ cấu hình Firefox để tin cậy các chứng chỉ trong kho chứng chỉ hệ điều hành bằng cách nhập “any root CAs that have been added to the OS by the user, an administrator, or a program that has been installed on the computer.”
Theo công ty, tùy chọn này có sẵn trên Windows và MacOS.
Công ty cũng đã khuyến nghị các nhà cung cấp phần mềm chống vi-rút kích hoạt tùy chọn “enterprise roots” thay vì thêm CA gốc của họ vào kho lưu trữ gốc của Firefox.
Hơn nữa, công ty cũng nói rằng với Firefox ESR 68, cài đặt tùy chọn “enterprise roots” sẽ được bật theo mặc định.
“Vì các bản phát hành hỗ trợ mở rộng thường được sử dụng trong cài đặt doanh nghiệp khi Firefox cần nhận ra CA nội bộ của tổ chức, thay đổi này sẽ hợp lý hóa quy trình triển khai Firefox cho quản trị viên”, Mozilla giải thích .
Trong khi nói về những lo ngại của người dùng về việc Firefox tự động tin tưởng các chứng chỉ chưa được kiểm toán và trải qua quy trình nghiêm ngặt của Mozilla, công ty cho biết “bất kỳ người dùng hoặc chương trình nào có khả năng thêm CA vào HĐH cũng chắc chắn có khả năng thêm cùng một CA trực tiếp vào cửa hàng gốc của Firefox. “
“Ngoài ra, vì chúng tôi chỉ nhập các CA không có trong HĐH, Mozilla duy trì khả năng thiết lập và thực thi các tiêu chuẩn cao nhất trong ngành đối với các CA đáng tin cậy công khai mà Firefox hỗ trợ theo mặc định.”
“Nói tóm lại, những thay đổi chúng tôi đang thực hiện đáp ứng mục tiêu làm cho Firefox dễ sử dụng hơn mà không làm mất tính bảo mật.”
Bên cạnh đó, bắt đầu với Firefox 68, dự kiến được phát hành vào ngày 9 tháng 7, các tính năng thiết bị nhạy cảm như máy ảnh và micrô sẽ yêu cầu kết nối HTTPS để hoạt động với trình duyệt.