Добрый день!
Прошу подсказки, как или где в Файерфоксе отключить проверку сертификатов  серверов (сайтов)?
Последние версии Файерфокса даже на Гугл не пускают и не  дают в окне предупреждения о недействительности сертификата ссылку "я понимаю риск" или типа "сохранить сертификат, как исключение".
Приходится на некоторые свои сайты заходить при помощи Chrom.
Снимок с экрана здесь: https://forum.mozilla-russia.org/uploaded/eposib.png

eposib, это вам нужно в вашем тупом антивирусе отключить проверку httpS-трафика. А Firefox'у (его разработчикам) сказать спасибо за то, что сообщают вам о подмене сертификата сайта. Вот другие ваши браузеры молча допускают такое действие. А теперь задумайтесь на пару секунд - а что было бы, если бы подменял сертификат не "тупой антивирус", а самый настоящий вирус?

Примерно понял.
Я из "Чайников"...
Почему всё же он не предлагает сохранить исключение?

10-11-2014 20:13:41
И ещё вопрос:  почему браузер Chrome ведёт себя нормально в такой же ситуации??
С Chrome я вхожу на эти сайты, а Фаерфокс меня не пускает...
Похоже, всё же не в касперском дело...

eposib пишет:

Почему всё же он не предлагает сохранить исключение?

Firefox такой: "Тут хрень какая-то творится, кто-то по дороге сертификат меняет, вполне возможно что вирус. Вы же все потеряете - адреса, явки, пароли... Обратите внимание на эту хрень, разберитесь что же за гад у вас поселился?!"
А пользователь такой: "Мля, ну почему ты не хочешь сохранить исключение??? Достал ты меня своими вопросами! Это же что - мне это не только читать, но и думать надо будет?! Ой-ой-ой... Напишу как я слёзную жалобу на форум, может посочувствует кто!"

eposib пишет:

Похоже, всё же не в касперском дело...

Да, конечно, не в нем... В пользователе. Который ленится читать написанное и думать совершенно не хочет и не собирается.

почему браузер Chrome ведёт себя нормально в такой же ситуации??

Потому что хром использует системную базу сертификатов, а FF - свою собственную. Любой антивирус обычно интегрирует свои сертификаты в системные хранилища. Это позволяет им проводить дешифрование TLS-трафика на лету так, что браузеры этого не замечают. Плохо тут только то, что это технически ничем не отличается от атаки, от которой TLS как бы и должен защищать. Вся информация включая пароли, номера кредиток, итд становится доступной антивирусу.
В принципе, всё должно решаться интеграцией сертификата антивируса в хранилище Firefox - это вполне мог бы сделать инсталлятор антивируса. Я думаю, об этом нужно обязательно написать в их техподдержку.

Немного понял. Спасибо!
Напишу Касперскому....
Однако "червь сомнения душу точит": ИЕ-10 работает без проблем, Хром тоже работает нормально, а Фаефокс в тех же условиях паникует:

скрытый текст
https://forum.mozilla-russia.org/uploaded/IE-10-.jpg
https://forum.mozilla-russia.org/uploaded/Chrome-.jpg
https://forum.mozilla-russia.org/uploaded/eposib.png

Может, "Что-то в консерватории не так?" (Жванецкий)
:cry:

eposib пишет:

Может, "Что-то в консерватории не так?" (Жванецкий)

Да, именно в консерватории и не так! Вы вообще в состоянии прочитать то, что вам пишут? Или так и будете продолжать петь свою песню "А вот в других браузерах не так!". Да, не так. И вам объяснили почему не так. Но все-таки что-то не так :)

ИЕ-10 работает без проблем, Хром тоже работает нормально, а Фаефокс в тех же условиях паникует:

А вот откройте свойства доверенного сертификата для google.ru в хроме или IE и посмотрите на цепочку сертификатов. Правильная цепочка выглядит так:

https://forum.mozilla-russia.org/uploaded/track1.png
А если там что-то другое, то браузер был бессовестно обманут :)

sentaus пишет:

Потому что хром использует системную базу сертификатов

Воще то хром онлайн проверяет валидность сертификатов и это гораздо безопаснее, чем истеричка [firefox]

още то хром онлайн проверяет валидность сертификатов

Это в данном случае не имеет смысла. В сертификатах, которые браузеру подсунет антивирус, либо не будет OCSP урла, либо он будет указывать на УЦ антивируса, который будет где-нибудь на localhost.

И, кстати, всё строго наоборот. :)

security.warn_entering_weak false
security.warn_viewing_mixed false
browser.xul.error_pages.expert_bad_cert true

Добрый день! Читаю сообщения по этой теме, но чего-то всё-таки не понимаю. Я в общем-то, тоже "чайник", и о некоторых вещах просто не подозреваю. У меня тоже иногда выскакивает предупреждение, с которого начата тема в этой ветке. У меня сложилось мнение, что в ряде случаев в этом виноват владелец сайта - банально не проследил за сроком действия своего сертификата. Вот пример - https://webmail.mma.ru/. А это сайт солидного московского вуза. И я таки не понял до конца, какова роль антивируса во всём этом. В моём конкретном случае ...его просто нет. Можете высказывать своё мнение по этому факту, но вот так у меня сложилось.

И, кстати, я в своём браузере вижу строчку "Я понимаю риск" с кнопкой "Добавить исключение":

скрытый текст
http://forum.mozilla-russia.org/uploaded/Nedostoverno2.jpg

.  Почему отличие от версии топикстартера?

Vlad-SP, в вашем конкретном случае антивирус не имеет никакого отношения, сообщения об ошибке совершенно разные. Вы бы и сами могли это понять, если бы внимательно его прочитали. Ваш случай - просто истек срок действия сертификата и этот случай касается только этого конкретного сайта. И поэтому вы видите кнопку "Добавить исключение" (сертификат есть, он относится именно к тому сайту, к которому обращался браузер, но сертификат просрочен).

У топикстартера же такое ругательство на _любое_ подключение по https поскольку сертификат сайта подменяется чужим сертификатом (обращение идет к сайту plus.google.com, а в ответ приходит вообще непонятно от кого сертификат).

eposib пишет:

Похоже, всё же не в касперском дело...

Так ведь оно так и есть, проблема не в Касперском, а в FireFox. FireFox не хочет брать сертификат Kaspersky из центра сертификации ОС, как это делают другие, у Kaspersky политика с сертификатами поменялась и теперь антивирус при установки отдает свой сертификат в общее хранилище Wbindows, а те кому требуется нужный сертификат берут от туда и не напрягают пользователя, как это делает FF. Теперь чтоб таких сообщений не было в FF нужно самостоятельно импортировать сертификат антивируса.

wtf?

скрытый текст
http://s020.radikal.ru/i708/1411/67/b806435859fa.png

У [firefox] окончательно поехала крыша на этих сертификатах :lol:

До этого так же не пускал и на forum.mozilla-russia.org.

Aquarelle пишет:

У  окончательно поехала крыша на этих сертификатах

Вот такой скриншотец необходим, чтобы диагностировать проблему с сертификатом.
https://forum.mozilla-russia.org/uploaded/cert_gg.png

sentaus пишет:

Вот такой скриншотец необходим, чтобы диагностировать проблему с сертификатом.

Без проблем.

скрытый текст
http://s017.radikal.ru/i442/1411/37/a272ab07907c.png

Но не думаю что проблема с сертификатом. На forum.mozilla-russia.org у меня получилось зайти после обновления страницы. А на ютуб после нескольких обновлений. Так что это глюк фокса, мне кажется.

И у меня нет ни вирусов, ни антивирусов :D

Но не думаю что проблема с сертификатом.

А это как раз та самая online-проверка валидности по OCSP не сработала по какой-либо причине. Такое будет, если не получилось установить соединение с центром, выдавшим сертификат.

Так что это глюк фокса, мне кажется.

Скорее, глюк провайдера.

sentaus пишет:

А это как раз та самая online-проверка валидности по OCSP

Ты был прав, я вот тут прочитал почему онлайн проверка валидности сертификата по OCSP - это глупо :)

sentaus пишет:

Скорее, глюк провайдера.

Не знаю что это было, но надеюсь больше такой мозговынос не случится.

Вся эта теория - это замечательно, прочитал с интересом, но может ли кто-нибудь дать простой ответ, без лирический отступлений: "Как отключить проверку сертификатов вообще, в принципе, полностью?".
К сожалению, некоторые сайты требуют именно лису, в других плохо работают, а лиса просто до нервного тика доводит своими сертификатами.

Выше было сообщение, похожее на ответ:

barth пишет:

security.warn_entering_weak falsesecurity.warn_viewing_mixed falsebrowser.xul.error_pages.expert_bad_cert true

но без каких-либо комментариев.

Пожалуйста, расскажите, как отключить.

Пожалуйста, расскажите, как отключить.

Никак.

Shumway
Может помочь Skip Cert Error
Пишут, что в новых версиях не работает. Ставьте ESR.

Благодарю за ответы.
Весьма печально.

banbot пишет:

Ставьте ESR

Поясните, пожалуйста, что есть такое ESR.

Ничего себе, а я не знал такое о Лисе. Молодцы разработчики. В нынешних реалиях, когда появляются госзаказы на взлом https, работа Лисы особенно актуальна.

Добавлю от себя. Потратил сегодня полдня на эту беду, но таки разрулил.
Для тех, кто сидит за корпоративным прокси или файрволлом тоже будут(могут быть) недоступны многие(все) сайты с https - именно из-за подстановки своего сертификата. Конечно, это типичная атака MitM, но что делать.
Признаки такие - хром и IE спокойно открывают гугл, например, но в FF мы видим ошибку сертификата и больше ничего.
Возвращаемся в IE, смотрим, какой сертификат подставляется вместо гугловского, экспортируем его в формате CER (он может быть не один), а потом импортируем в FF, не забыв выставить галочки разрешений. После перезагрузки браузера всё должно заработать.
Сертификат может иметь имя компании. У меня, например, был Zscaler.

Скрины кинуть не могу - пишу с другого компа.

Что-то много всего понаписано, а по делу ничего. В итоге можно отключить в FF эту долбаную проверку сертификатов или нет?

MOXOBPOMA
Скорее всего нет, я тоже ничего толкового не нашел,
но вот есть такое дополнение
https://addons.mozilla.org/ru/firefox/a … ert-error/

Stkvsky, а у вас получилось его установить? У меня кнопка "Добавить в Firefox" почему-то не активна

MOXOBPOMA пишет:

Stkvsky, а у вас получилось его установить? У меня кнопка "Добавить в Firefox" почему-то не активна

Попробуйте установить на версию не Firefox Quantum.

MOXOBPOMA
вот список всех версий, найдите свою которая ставится
https://addons.mozilla.org/ru/firefox/a … /versions/

23-02-2018 22:13:34
а, для новой версии фф 57 оно не работает

А разработчики на этом форуме присутствуют?

нет. и телепатов тоже нет. и также тут не служба поддержки которая обязана отвечать.
тут просто пользователи которые задают вопросы и\или отвечают.

barth пишет:

security.warn_entering_weak false
security.warn_viewing_mixed false
browser.xul.error_pages.expert_bad_cert true

Спасибо, помогло.
Первые две строчки такими и были, а в последней стояло false. Поменял на true и проверять перестало.
А вообще ФФ задолбал этими проверками. Если у меня стоит Каспер, то мне его вполне достаточно, чтобы он определял нехорошую активность. Если ещё и ФФ этим будет заниматься и не пускать на нормальные сайты с просроченным сертификатом - это уже слишком.

P.s. Нет, не так. ФФ все равно пишет о неправильном сертификате. Но при обновлении страницы, он ее открывает. Какая-то фигня...

OlegCh, у вас какая версия? Че-то у меня нет в конфиге security.warn_entering_weak и security.warn_viewing_mixed

MOXOBPOMA пишет:

OlegCh, у вас какая версия? Че-то у меня нет в конфиге security.warn_entering_weak и security.warn_viewing_mixed

Версия показывается под аватарой. Более точно 58.0.2. Но на самом деле это, по-моему, не помогает. Я 3-ю строку вернул на место и все равно при обновлении страницы предупреждение пропадает. Т.е. получается, что надо либо в исключение страницу заносить, либо просто ее обновлять. А вообще, я бы просто выключил эту дрянь.

OlegCh пишет:

А вообще, я бы просто выключил эту дрянь

Многие бы так поступили. Только как ее выключить?

У меня сегодня с FF вообще какие-то тормоза. Сначала на защищенные соединения ругался вместе с Касперским. Теперь ругаться перестал, но каждый раз лезет на сервер ff.kis.v2.scr.kaspersky-labs.com и застревает там на целую минуту...

P.s. Вот, на всякий случай...

Мы завели ошибку (баг)#2629983 и передали информацию о ней на рассмотрение нашим разработчикам.
В данный момент сведения о дате выпуска исправления (даже приблизительной) отсутствуют.
Вполне вероятно, что ошибку (баг) исправят либо в новой версии продукта, либо в одном из ближайших патчей.
В качестве временного решения Вы можете добавить программу в исключения: https://support.kaspersky.ru/13971#block2 и установить маркер на пункте "Не проверять весь трафик".

что-то фф совсем... у одного сайта просрочился сертификат, и фф не даёт возможности вообще никак на него зайти
должны же быть варианты? или вообще всё похерили?

У меня и ФФ и Thunderbird тормозят в сочетании с Касперским. У ФФ часто страницы долго открываются, а почта почему-то с сервером соединяется не с первого раза - письма отправляются и приходят с 2-3 раза.

Почему бы просто не добавить в настройках ФФ кнопочку "Если Вы готовы рисковать, отключить проверку сертификатов" !!! (У меня Вин.7, ФФ 63.0.3.) Но... Исходя из всего написанного, я понял, что разработчикам ФФ на$рать на нас, потенциальных пользователей. Они там себе что-то начудили-наворотили, а наше мнение их совсем не волнует, они даже не заходят сюда, не интересуются и не догадываются о нашем нытье... Отправляют всех сюда и на другие форумы, где сами никогда не появляются? Типа "нойтесь там друг-другу, может кто кому чего авось и подскажет, а нам это все пофигу, мы стремимся, избавиться от пользователей, вы нам все надоели" Так получается??? Может кто тогда порекомендует нормальный браузер, но не оперу и не хром?
П.с. Я в своей ФФ не могу не то что в гуглю, даже на этот форум дойти...