Вопрос или проблема
Браузер Firefox по неизвестным причинам при взаимодействии с https://wooordhunt.ru/ изменяет свое отношение к этому сайту.
Давайте посмотрим, что происходит. Создайте новый профиль, запустив браузер с параметром -p.
firefox -p
Далее.
Создать профиль
Запустить Firefox
Перейдите на сайт https://wooordhunt.ru и получите предупреждение:
Warning: Potential Security Risk Ahead
Firefox обнаружил потенциальную угрозу безопасности и не продолжил переход на wooordhunt.ru. Если вы посетите этот сайт, злоумышленники могут попытаться украсть такую информацию, как ваши пароли, электронные письма или данные кредитной карты...
Если подождать некоторое время, 3-10 минут, предупреждения о проблемах безопасности могут исчезнуть, и сайт начнет открываться нормально.
Однако, если у вас нет нового профиля, сайт, скорее всего, откроется без предупреждения.
Chrome и аналогичные браузеры открывают этот сайт без сообщений.
Это поведение было протестировано на версиях Firefox 111, 115esr, 121, 134, 135. На Linux Mint 20.3, Linux Mint 21.3 с установочной флешки, недавно установленной Linux Mint 22.1, Windows 7.
Как настроить Firefox, чтобы он “понимал” этот сайт?
Сайт отправляет неполную цепочку TLS-сертификатов.
1. Subject: CN=wooordhunt.ru
Issuer: CN=GlobalSign GCC R6 AlphaSSL CA 2023,O=GlobalSign nv-sa,C=BE
2. Subject: CN=AlphaSSL CA - SHA256 - G4,O=GlobalSign nv-sa,C=BE
Issuer: CN=GlobalSign Root CA,OU=Root CA,O=GlobalSign nv-sa,C=BE
Обратите внимание, как 2-й сертификат не является издателем 1-го, поэтому он не участвует в проверке, тогда как промежуточный, который является фактическим издателем, полностью отсутствует, делая невозможным для браузера сформировать полную цепочку от сертификата №1 до любого из его известных корневых центров сертификации.
Все публичные TLS-сертификаты выдаются в системе как минимум из трех уровней: ниже каждого корневого центра сертификации (который есть у браузеров) всегда есть хотя бы один промежуточный “выдающий центр сертификации”, чей сертификат должен быть предоставлен сервером.
Владелец получил новый TLS-сертификат в один день – который был выдан другим промежуточным центром сертификации, чем предыдущий, – но сервер, вероятно, все еще использует старую конфигурацию эпохи Apache2.2, где они указываются как отдельные файлы (в отличие от современной синтаксиса конфигурации, которая берет всю цепь в одном файле), поэтому владелец обновил файл “сертификата”, но не обновил файл “цепочки”.
Это относительно распространенная проблема, поэтому браузеры справляются с ней, кэшируя каждый ранее увиденный сертификат промежуточного центра сертификации и используя кэш для заполнения пробелов. Таким образом, будет ли работать этот сайт, зависит от того, посещали ли вы ранее другие сайты, использующие AlphaSSL.
Кроме того, Mozilla недавно начала активно собирать все промежуточные сертификаты от своих корневых центров сертификации и распространять их в виде обновления в реальном времени, которое Firefox загружает периодически. Новый профиль еще не будет иметь загруженного пакета, поэтому он не сможет заполнить недостающие части “цепочки” сервера.
Ответ или решение
Firefox может считать сайт https://wooordhunt.ru небезопасным из-за неполной цепочки сертификатов TLS, которую он получает от сервера. Это может вызвать предупреждения о потенциальной угрозе безопасности. Чтобы полностью понять проблему и предложить возможные решения, необходимо рассмотреть несколько факторов, связанных с работой браузеров и конфигурацией серверов.
Теория
Сертификаты TLS обеспечивают шифрование данных между вашим браузером и веб-сервером, предотвращая их перехват злоумышленниками. Сертификаты выдаются корневыми центрами сертификации (CA) и проверяются через цепочки доверия, состоящие из корневого сертификата, промежуточного сертификата и сертификата самого веб-сайта. Если сервер не предоставляет все необходимые сертификаты для формирования полной цепочки доверия, браузеры могут интерпретировать это как потенциальную угрозу безопасности.
Пример
В случае с сайтом wooordhunt.ru проблема состоит в том, что выданная цепочка сертификатов неполная. Сертификат сайта был выдан центром сертификации GlobalSign через промежуточное звено, которое не было включено в отправленные сертификаты. В результате Firefox не может построить цепочку доверия от корневого сертификата до сертификата сайта, поскольку недоступен промежуточный сертификат, необходимый для завершения цепочки.
Применение
Теперь, чтобы исправить эту проблему и заставить Firefox корректно воспринимать сайт, можно рассмотреть следующие подходы:
-
Обновление Конфигурации Сервера: Владелец сайта должен пересмотреть конфигурацию сервера. На современных веб-серверах рекомендуется использовать файл, содержащий полную цепочку сертификатов, включая промежуточные. Это решит проблему отсутствующих промежуточных сертификатов и улучшит совместимость с различными браузерами.
-
Кэширование в Браузере: Firefox может автоматически запоминать промежуточные сертификаты, которые ранее использовались. Это означает, что если пользователь ранее посещал другие сайты с аналогичными сертификатами, Firefox сможет заполнить пробелы в цепочке, используя уже кэшированные данные. Однако это решение непригодно для новых пользователей или новых профилей.
-
Обновления Сертификатов Firefox: Mozilla недавно внедрила систему, которая автоматически обновляет кэш промежуточных сертификатов в Firefox. Это помогает браузеру более надежно справляться с неполными цепочками при первом посещении сайта. Однако данный кэш обновляется периодически и может не содержать необходимых сертификатов при создании нового профиля.
Практические Рекомендации для Пользователей
Если вы сталкиваетесь с этой проблемой как конечный пользователь, попробуйте следующее:
-
Проверка и Обновление Браузера: Убедитесь, что ваш Firefox обновлен до последней версии. Более новые версии могут обладать улучшенными механизмами для работы с неполными цепочками сертификатов.
-
Контакт с Веб-мастером: Сообщите владельцу сайта о проблеме. Возможно, они не в курсе отсутствия промежуточных сертификатов в конфигурации их сервера.
-
Использование Других Браузеров: Как временное решение, вы можете использовать другие браузеры для доступа к wooordhunt.ru. Chrome, например, имеет другую систему для работы с сертификатами и может в некоторых случаях более гибко справляться с подобными ошибками конфигурации.
В заключение, проблема безопасности при доступе к сайту wooordhunt.ru в Firefox связана с некорректной конфигурацией цепочки сертификатов на стороне сервера и поведенческими особенностями браузера. Это весьма распространенная ошибка в конфигурации, которую можно исправить через обновление серверной настройки или в обновлении браузера.