Sinds 1 januari van dit jaar kunnen sommige Firefoxgebruikers geen https-sites meer bezoeken, omdat hun virusscanner het versleutelde verkeer probeert te onderscheppen. Mozilla besloot om sinds dit jaar nieuwe ssl-certificaten die met het sha-1-algoritme zijn gesigneerd in Firefox te blokkeren, maar is vanwege de problemen bij gebruikers daar nu op teruggekomen.

Het sha-1-algoritme wordt gebruikt voor het signeren van ssl-certificaten. De veiligheid van het algoritme ligt al langere tijd onder vuur omdat het steeds kwetsbaarder voor collision-aanvallen wordt. Bij een collision-aanval is het mogelijk om een vals ssl-certificaat te maken, waarbij de sha-1-hash nog steeds overeenkomt met de hash van het legitieme certificaat dat door een Certificaat Autoriteit is uitgegeven.

De ingevoerde sha-1-blokkade heeft voor Firefoxgebruikers met ongefilterde toegang tot het internet weinig impact en volgens Mozilla zal deze groep er dan ook weinig van merken. Dat geldt niet voor Firefoxgebruikers die achter 'man-in-the-middle-oplossingen' zitten, zoals anti-virusprogramma's en beveiligingspakketten die https-verkeer filteren. De aanpassing van Firefox zorgt er namelijk voor dat deze gebruikers geen https-sites meer kunnen bezoeken.

Als deze gebruikers een https-site bezoeken stuurt de virusscanner of het beveiligingspakket dat de man-in-the-middle uitvoert een nieuw sha-1-certificaat naar Firefox, in plaats van het echte ssl-certificaat van de website. Op deze manier kan het verkeer worden gefilterd en gecontroleerd. Aangezien Firefox sinds 1 januari nieuwe sha-1-certificaten blokkeert, kan er geen verbinding met de website worden gemaakt. De website maakt in dit geval gebruik van een sha-1-certificaat dat voor 1 januari 2016 is uitgegeven. Deze certificaten worden nog niet door Firefox geblokkeerd. De virusscanner genereert echter een certificaat met een datum na 1 januari 2016, dat wel wordt geblokkeerd.

Oplossing

Gebruikers die hiermee te maken hebben krijgen van Mozilla het advies om een nieuwe versie van Firefox te installeren. In deze versie is sha-1-ondersteuning namelijk weer ingeschakeld, om problemen bij sommige Firefoxgebruikers met anti-virusprogramma's te voorkomen. Dit moet wel handmatig via een andere browser gebeuren, omdat Firefox-updates alleen over https worden aangeboden, wat bij deze gebruikers niet zal werken. Technische gebruikers kunnen Firefox zo instellen dat sha-1-certificaten toch worden geaccepteerd. Verder kan het ook helpen om de virusscanner te updaten, omdat sommige fabrikanten zijn gestopt met het gebruik van sha-1. Uiteindelijk wil Firefox de sha-1-blokkade voor nieuwe ssl-certificaten doorzetten, maar wanneer dit nu zal zijn is onbekend.