Ryzyko albo paranoja?

Mozilla z wersji na wersję popada w coraz większą paranoję i wprowadza do Firefoxa coraz większe restrykcje odnośnie certyfikatów.

Ich paranoja objawia się coraz bardziej absurdalnymi restrykcjami co do certyfikatów. O ile wcześniej wystarczyło zrezygnować z ich list kontrolnych czyli OCSP i w miare działały manery wyświetlane w HTTPS, o tyle teraz już mozilla poszła dalej po bandzie i zaczęła się czepiać polskiego Certum, że ma coś nie tak z Cert Pinningiem. Zajrzałem, co oznacza klucz w about:config:

security.cert_pinning.process_headers_from_non_builtin_roots

Okazało się, ze albo nasi niesamowici eksperci z ZETO od wystawiania certyfikatów źle skonfigurowali certyfikat, albo Mozilla postanowiła na siłę wcisnąć OCSP itp wynalazki, które coraz bardziej psują konfigurację i nie pozwalają na stałe zaakceptować sprawnego certyfikatu z byle powodu.

Teraz mamy wybór:

1. Ryzykujemy atak Man In The Middle, akceptując słabe certyfikaty
2. Pozwalamy Firefoxowi odrzucać certyfikaty praktycznie bez powodu.

Wybór należy do Ciebie