Firefox weert sinds begin januari te veel sites

Sinds eind december weigert Firefox sites te laden die het dataverkeer versleutelen met SHA-1 certificaten. Het gebruik van SHA-1 wordt afgeraden omdat zo'n certificaat mogelijkheden biedt tot rommelen met de authenticiteit. Kwaadwillenden kunnen dan het verkeer afluisteren terwijl de gebruiker denkt een veilige verbinding te hebben.

Firefox blokkeert alleen sites met SHA-1 certificaten die redelijk recent zijn uitgegeven, een aanwijzing dat er mee geknoeid is. Oude SHA-1 certificaten vertrouwt de browser wel, hoewel het beter is sites te voorzien van SHA-256 certificaten of nieuwere.

Mozilla waarschuwt nu dat de browser nu toch sites blokkeert met valide certificaten bij het gelijktijdig gebruik van sommige anti-malwaresoftware en -gereedschappen. Wanneer een gebruiker een https-site opvraagt, sturen deze beveiligingshulpmiddelen een nieuw SHA-1 certificaat naar de browser, in plaats van het originele certificaat door te sturen. Daardoor blokkeert Firefox de toegang tot de site.

Mozilla biedt je een makkelijke manier om uit te vinden of de situatie van toepassing is. Kun je de blog met de waarschuwing lezen in Firefox, is er geen probleem. Als deze geblokkeerd wordt en de browser onder 'Opties - Geavanceerd' aangeeft “SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED”, zijn de beveiligingshulpmiddelen de oorzaak van de blokkade.

Het probleem is op te lossen door de nieuwste versie van Firefox te installeren. Dat moet dan wel gebeuren met een andere browser dan Firefox, want Mozilla levert alleen nieuwe versies uit via een beveiligde verbinding.