Firefox confiará automáticamente en los certificados de CA instalados en el sistema operativo para evitar errores de TLS

advertencia de seguridad https de firefox

Mozilla finalmente introdujo un mecanismo para permitir que el navegador Firefox corrija automáticamente ciertos errores de TLS, que a menudo se activan cuando el software antivirus instalado en un sistema intenta interceptar conexiones HTTPS seguras.

La mayoría del software antivirus ofrece una función de seguridad web que intercepta conexiones HTTPS cifradas para monitorear el contenido en busca de páginas web maliciosas antes de que llegue al navegador web.

Para lograr esto, el software de seguridad reemplaza los certificados TLS de los sitios web con sus propios certificados digitales emitidos por cualquier Autoridad de certificación (CA) confiable.

Dado que Mozilla solo confía en las CA que se enumeran en su propio almacén raíz, los productos antivirus que dependen de otras CA de confianza proporcionadas por el sistema operativo (SO) no pueden interceptar conexiones HTTPS en Firefox.

En los últimos meses, esta limitación bloqueó continuamente las páginas HTTPS para muchos usuarios de Firefox, mostrándoles los códigos de error SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED o ERROR_SELF_SIGNED_CERT cuando su antivirus intenta interceptar una página habilitada para HTTPS agregando su certificado raíz.

Para permitir que los usuarios solucionen este problema fácilmente, a partir de Firefox 68, el navegador ahora habilitará automáticamente la preferencia «raíces empresariales» y volverá a intentar la conexión cada vez que detecte un error TLS «Man-in-the-Middle».

Habilitar la configuración «security.enterprise_roots.enabled» configura Firefox para que confíe en los certificados en el almacén de certificados del sistema operativo al importar «cualquier CA raíz que haya sido agregada al sistema operativo por el usuario, un administrador o un programa que haya sido instalado en el computadora. «

Según la compañía, esta opción está disponible en Windows y MacOS.

La compañía también ha recomendado a los proveedores de antivirus que habiliten la preferencia de «raíces empresariales» en lugar de agregar su propia CA raíz a la tienda raíz de Firefox.

error https de firefox

Además, la compañía también dice que con Firefox ESR 68, la configuración de preferencias de «raíces empresariales» vendrá habilitada de forma predeterminada.

«Debido a que las versiones de soporte extendido a menudo se usan en entornos empresariales donde es necesario que Firefox reconozca la propia CA interna de la organización, este cambio agilizará el proceso de implementación de Firefox para los administradores», explica Mozilla.

Al hablar de las preocupaciones de los usuarios sobre la confianza automática de Firefox en los certificados que no han sido auditados y pasados ​​por el riguroso proceso de Mozilla, la compañía dice que «cualquier usuario o programa que tenga la capacidad de agregar una CA al sistema operativo casi seguramente también tiene la capacidad de agregue esa misma CA directamente a la tienda raíz de Firefox».

«Además, debido a que solo importamos CA que no están incluidas con el sistema operativo, Mozilla mantiene nuestra capacidad para establecer y hacer cumplir los estándares más altos de la industria en CA de confianza pública que Firefox admite de manera predeterminada».

«En resumen, los cambios que estamos realizando cumplen el objetivo de hacer que Firefox sea más fácil de usar sin sacrificar la seguridad».

Además de esto, a partir de Firefox 68, cuyo lanzamiento está programado para el 9 de julio, las funciones sensibles del dispositivo, como la cámara y el micrófono, requerirán una conexión HTTPS para funcionar con el navegador.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática