Как вернуть зелёный индикатор TLS в новом Firefox 70?



    С версий Chrome 77 и Firefox 70 (вышел 22.10.2019) дизайнеры приняли решение убрать зелёный «замочек», который сигнализирует о наличии TLS-сертификата. Более того, EV-сертификаты с расширенной проверкой теперь никак не выделяются.

    Но разработчики Firefox 70 оставили возможность вернуть привычный интерфейс. И зелёный индикатор, и отдельную строчку с указанием компании для EV-сертификатов. Как со всеми другими настройками Firefox, это делается очень просто — изменением параметра в about:config.

    Зелёный индикатор


    1. Ввести about:config в адресную строку.
    2. Нажать кнопку «Я принимаю на себя риск».
    3. В поисковой строке вверху найти параметр security.secure_connection_icon_color_gray.


    4. Изменить его значение на false.


    Изменения вступят в силу немедленно, перезагрузка браузера не требуется. На всех сайтах с TLS-сертификатами вновь появится зелёный индикатор.



    Чтобы снова поставить серый значок, настройку всегда можно изменить обратно.

    EV-сертификаты


    Это поле тоже можно вернуть обратно.

    1. Снова зайти в about:config.
    2. Теперь найти параметр security.identityblock.show_extended_validation.
    3. Установить его значение на true.

    Было:



    Стало:



    Сертификат c расширенной проверкой (Extended Validation, EV) — тип сертификата HTTPS, в котором центр сертификации проводит дополнительную проверку владельца домена, привязывая домен к юридическому лицу. Дизайнеры браузеров убрали этот индикатор, чтобы оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств.

    Google провела исследование, на основании которого сделала вывод, что отказ от EV не снижает безопасность. В то же время опрос на Хабре показал, что 51,3% пользователей больше доверяют EV-сертификатам, чем обычным сертификатам TLS (хотя проголосовали только 146 пользователей). Совет безопасности CA тоже считает ошибкой решение убрать EV из адресной строки.

    Кстати, в версии Firefox 71 (декабрь 2019) появится более современный инструмент для просмотра сертификатов Certificate Viewer, который показывает полную информацию о соединении HTTPS, сертификате, ключах, центре сертификации и так далее. Интерфейс уже включили по умолчанию в версии Nightly:



    Встроенный Certificate Viewer сделали по образцу опенсорсного расширения Certainly Something (Certificate Viewer), которое вытягивает информацию через TLS Info API в Firefox.

    Маленький бонус


    Для сайтов без шифрования Firefox 70 показывает серый индикатор замочка с перечёркиванием. Для большей выразительности можно добавить к этому значку надпись «Не защищено». Это делается изменением настройки security.insecure_connection_text.enabled.

    Было:



    Стало:



    Приятно, что разработчики Firefox предусматривают различные варианты настройки интерфейса и не принуждают всех использовать унифицированный единообразный UI.



    GlobalSign
    Company

    Comments 12

      +4
      Приятно, что разработчики Firefox предусматривают различные варианты настройки интерфейса и не принуждают всех использовать унифицированный единообразный UI.
      Скорее, временно поддерживают старый интерфейс.
      Общая практика такова, что указанные в статье настройки когда-нибудь могут перестать работать.

      В любом случае, не смотрел на значок, и не буду смотреть, он ничего никогда и не гарантировал.
        +2
        Дизайнеры браузеров убрали этот индикатор, чтобы оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств.

        ДИЗАЙНЕРЫ и безопасность несовместимы. После появления letsencrypt ходили новости про фишинговые домены paypal с валидными tls сертификатами и прользователям предлагалось проверять наличие EV на правильную компанию в адресной строке и этого в большинстве случаев было достаточно, а теперь ДИЗАЙНЕРЫ все свели на нет. Ну что-ж ждем новую волну фишинга.
          +6
          При чём тут ДИЗАЙНЕРЫ, если даже ТЕХНАРИ не в силах по этому значку понять, выдан ли сертификат платёжной системе Stripe или же её «однофамильцу», зарегистрированному в другом штате?

          Чтобы не попасться на фишинг, ТЕХНАРЮ необходимо в любом случае прогуляться в подробности. И это мы говорим о ТЕХНАРЯХ, а большинство пользователей вообще не полезет смотреть, то ли сертификат выдан российской VKONTAKTE LLC, то ли американскому двойнику, зареганному злоумышленником. Зелёная плашечка же есть.

          Именно поэтому Extended Validation Certificates are (Really, Really) Dead
            0
            В будущем еще возможны еще и политические осложнения, которые спровоцируют войну сертификатов.
          0

          Теперь осталось перестать материться на самоподписанные сертификаты, а считать их работающими на уровне 'http', и проблема решена.

            +4
            Ну тогда ещё и перестать ругаться на сертификаты, которые к хосту не подходят.
            И митм наконец то заработает.
              0

              HSTS, etc, ваш друг. Чем mitm с самоподписанным сертификатом отличается от mitm с http downgrade? и там и там полностью незащищённый канал от mitm'а.

                0
                HTTP downgrade будет работать только, если пользователь перешёл по ссылке, использующей протокол http, а не https.
                А позволение такого mitm'a для https может привести, например, к угону кук с сайта, не рассчитающего на незащищённую работу.
                  0

                  Я не совсем понял проблему. Если мне надо угнать куки, я делаю http downgrade (mitm) и даю пользователю ссылку на http. Чем это отличается от self-signed SSL?

            0
            Как по мне, новые изменения логичные. Нет никакого смысла привлекать внимание пользователя к корректному сертификату. Его наличие говорит лишь об отсутствии проблем с соединением — и только. Индикация «повышенной безопасности» только вводит в заблуждение.

            Если есть проблема (сертификат не подходит, самоподписан, соединение открытое), к этому надо привлекать внимание, так как здесь требуются действия или изменение поведения пользователя.
              +3

              Да уймитесь вы уже. Ваш бизнес по торговле воздуха разрушен. Letsencrypt вас всех съел. Про EV забудут через год

                0
                Некоторые центры да.
                Мы тут сменили удостоверяющий центр, так они нам устроили проверку, как будто мы покупали EV сертификат. Если бы такие проверки осуществляли все центры… эх…

              Only users with full accounts can post comments. Log in, please.