Современные браузеры умеют не только отображать сайты и скачивать файлы — среди дополнительных функций встречается защита от недобросовестной рекламы, проверка безопасности защищенных соединений и т. д. Такие функции периодически нуждаются в доработках. Рассказываем, как Firefox делает свои продукты более защищенными.
Немного о протоколе TLS
TLS — это протокол, обеспечивающий защищенную передачу данных между узлами сети Интернет, при которой невозможен перехват пакетов данных. В связи с этим осуществить несанкционированный доступ к данным становится крайне сложно. Защищенный сеанс связи состоит из нескольких этапов: клиент запрашивает у сервера защищенное соединение, сервер выбирает из списка алгоритмов шифрования, поддерживаемых клиентом, наиболее надежные и отправляет клиенту собственный цифровой сертификат. Так программа-клиент может «убедиться», что подключается к доверенному серверу. Клиент проверяет валидность сертификата. После этого генерируется временный ключ шифрования (валидный только на один сеанс) и начинается передача данных.
TLS признан более безопасным протоколом по сравнению с предшественниками (прежде всего, SSL). Этот протокол не позволяет после начала сеанса переключаться на менее защищенные алгоритмы шифрования. Каждое сообщение, передаваемое по TLS, снабжается уникальным идентификатором, что позволяет проверять его подлинность. Подобные меры предосторожности делают возможные атаки на TLS крайне сложными.
Выдачей TLS-сертификатов занимаются крупные удостоверяющие центры. Наличие сертификата зачастую позволяет отличить настоящий сайт от поддельного, хотя этот способ нельзя считать стопроцентно надежным.
Свои сертификаты в локальные хранилища могут добавлять также и антивирусные программы. В некоторых случаях это может восприниматься защитными механизмами браузера как небезопасная активность.
Изменения в Firefox
С выходом релиза Firefox 65 ряд пользователей столкнулся с трудностями при подключении к защищенным сайтам. Выяснилось, что проблемы возникают в тех случаях, когда антивирусное программное обеспечение устанавливает свои сертификаты в хранилище браузера и в системное хранилище Windows. Система безопасности Firefox воспринимает внедрение сертификата как частный случай атаки MITM и разрывает текущее соединение, не давая странице загрузиться. Подобным образом Firefox реагирует и на легитимные попытки анализа трафика антивирусными продуктами. В ряде случаев это доставляет неудобства пользователям: на некоторые сайты не удается попасть.
Как сообщили разработчики Firefox, в новых версиях браузера, начиная с 68, будет доступна специальная опция в настройках, которая позволит по умолчанию доверять всем сертификатам, установленным пользователем или антивирусами. Чтобы включить эту опцию, достаточно будет совершить несколько простых действий:
- Ввести в адресной строке браузера about:config и войти в настройки Firefox.
- Найти опцию security.enterprise_roots.enabled и убедиться, что значение настройки равно True.
- Если значение равно False, достаточно сделать на нем двойной клик — получим новое значение, True.
Такое изменение может несколько ослабить систему защиты браузера, но избавит от возможных трудностей, связанных с отсутствием доверия к добавленным TLS-сертификатам. Разработчики сообщают, что в Windows и macOS опция будет по умолчанию включена. Разумеется, ее можно будет отключить, выставив значение False для security.enterprise.roots.enabled.
Долой устаревшие стандарты!
Изменением схемы работы с TLS-сертификатами специалисты не ограничатся. В новых релизах браузера разработчики постепенно избавятся от однопроцессорного режима. В версиях до 68 еще можно запретить использование браузером нескольких ядер процессора путем управления настройками browser.tabs.remote.force-enable и browser.tabs.remote.force-disable. В шестьдесят восьмом релизе эти настройки удалят. Теперь браузер будет на многоядерных процессорах использовать больше одного ядра. Однопроцессорный режим признан разработчиками устаревшим и небезопасным, он хуже тестируется и непригоден для ежедневного использования.
Начиная с октября 2019 года в тестовых сборках Firefox будет отключена поддержка устаревающих стандартов TLS 1.0 и 1.1. В 2020 году стабильные сборки браузера уже перестанут работать с сайтами, использующими устаревшее шифрование. Впрочем, пользователи вряд ли пострадают: из миллиона проверенных специалистами хостов лишь восемь тысяч не работают с TLS 1.2.
Во второй половине 2019 года и начале 2020 года Firefox лишится поддержки устаревших режимов работы и неактуальных версий протоколов. Браузер продолжает активно обновляться и развиваться.
Повлияют ли обновления на популярность свободного браузера? Покажет время. Очевидно, в последние годы разработчики Firefox активнее внедряют новые технические решения, а распространенность браузера упала с 16% в 2016 году до 10% в мае 2019 года (по данным StatCounter). Возможно, ситуация изменится в будущем, но пока популярность Firefox неуклонно снижается.
