Ryzyko albo paranoja?
Mozilla z wersji na wersję popada w coraz większą paranoję i wprowadza do Firefoxa coraz większe restrykcje odnośnie certyfikatów.
Ich paranoja objawia się coraz bardziej absurdalnymi restrykcjami co do certyfikatów. O ile wcześniej wystarczyło zrezygnować z ich list kontrolnych czyli OCSP i w miare działały manery wyświetlane w HTTPS, o tyle teraz już mozilla poszła dalej po bandzie i zaczęła się czepiać polskiego Certum, że ma coś nie tak z Cert Pinningiem. Zajrzałem, co oznacza klucz w about:config:
security.cert_pinning.process_headers_from_non_builtin_roots
Okazało się, ze albo nasi niesamowici eksperci z ZETO od wystawiania certyfikatów źle skonfigurowali certyfikat, albo Mozilla postanowiła na siłę wcisnąć OCSP itp wynalazki, które coraz bardziej psują konfigurację i nie pozwalają na stałe zaakceptować sprawnego certyfikatu z byle powodu.
Teraz mamy wybór:
- Ryzykujemy atak Man In The Middle, akceptując słabe certyfikaty
- Pozwalamy Firefoxowi odrzucać certyfikaty praktycznie bez powodu.
Wybór należy do Ciebie