Дополнение для FireFox "HTTP UserAgent cleaner" - справка



 Support(English; do not use Google translate, if do not speak English - write in the language that you know. If needed, my crypto key ( https://www.gpg4win.org/ ) is C64BE61A in keys.gnupg.net [0ADA 369A 692F 515F F4CC 6C2B D30A C753 C64B E61A])
Поддержка(на русском. Если хотите шифровать переписку, мой GnuPG-ключ шифрования ( https://www.gpg4win.org/ ): C64BE61A на keys.gnupg.net [0ADA 369A 692F 515F F4CC 6C2B D30A C753 C64B E61A])






В этом разделе мы познакомимся с работой фильтра Certs, который сообщает нам об изменившихся сертификатах. Сразу обращу внимание, обычный режим работы фильтра таков, что за несколько дней вы можете не получить ни одного сообщения об изменившихся сертификатах, в том числе и на крупных сайтах, таких ках youtube, yandex и т.п.. Если у вас много сообщений - что-то не так.
Фильтр предназначен для включения на всех доменах, то есть, по умолчанию, его можно включить в правиле без условий. Например, так:


(вы всегда можете включить или отключить его для каких-то доменов).
Его назначение - следить за изменяющимися сертификатами серверов. Так, при атаке на TLS-соединение, может быть тяжело подделать именно те сертификаты, которые используются сервером. Однако, Интернет устроен так, что злоумышленник может использовать для подделки соединения с сайтом другой корневой или промежуточный сертификат. Браузер не знает, какой из сертификатов подлинный, а какой - нет.
Дополнение с включённым фильтром Certs наблюдает за сертификатами серверов и их цепочками доверия (и запоминает их; см. ниже про отключение кеширования в начале использования фильтра Certs). Если цепочка доверия или сертификат изменились, то дополнение информирует об этом пользователя.

Certs:- - отключает работу фильтра.
Certs:+ - включает работу фильтра. При этом, если сертификат подозрителен, то загруженное по этому соединению содержимое будет заблокировано. При следующих запросах, сертификат будет считаться подозрительным.
Certs:Info - включает работу фильтра без блокирования загруженного содержимого. Подозрительный сертификат автоматически добавится в список неподозрительных.
Certs:Weak - фильтр работает в режиме меньшего количества ложных срабатываний, но аналогично фильтру Info.

При каждом посещении любых страниц в Интернете, фильтр запоминает сертификат сервера и его цепочку доверия (промежуточный сертификат и корневой сертификат, которые удостоверяют подлинность сертификата сервера).

Когда срабатывает фильтр Certs?
Далее перечисленны условия, любое из которых приводит к срабатыванию предупреждения.

1. Если хост (например, mail.yandex.ru) уже известен (вы его уже посещали):
1.1. Если IP-адрес хоста известен, но хотя бы один сертификат для нового запроса новый (кроме режима Weak).
1.2. Если IP-адрес хоста известен, хотя бы один сертификат новый, но не совпадает цепочка доверия сертификата сервера с какой-либо известной цепочкой доверия для этого хоста (в том числе, в режиме Weak).
1.3. Если IP-адрес хоста неизвестен (новый), и если цепочка доверия не совпадает с цепочками доверия ранее посещённых IP-адресов этого хоста.

2. Если хост неизвестен (вы его ещё не посещали):
2.0. Если с этого же домена неизвестны никакие хосты, то фильтр никогда не срабатывает.
2.1. Если с этого же домена второго уровня (далее - домена, например, для mail.yandex.ru это yandex.ru) известны другие хосты, то срабатывает:
2.1.1. Если для известных хостов не найдена та же цепочка доверия, что используется для этого хоста (кроме режима Weak)
3. Если база данных ещё не заполнена и кеширование не отключено как указано ниже.

Фильтр срабатывает вне зависимости от того, истёк ли срок действия известных сертификатов.

Если фильтр не срабатывает при неизвестном хосте, на вкладку "Лог блокировок" для вкладки FireFox, соответствующей этому хосту, записывается предупреждение.

Фильтр Weak удобен для работы в следующих случаях:
1. Если на крупном домене происходит массовая смена сертификатов. Режим Info сообщит вам о каждой смене сертификата по известному IP-адресу. Поэтому если вы заметили массовую смену сертификатов, то временно для этого домена можно поставить фильтр Certs в режим Weak (вы получите одно сообщение на каждую новую цепочку доверия).
2. Если вы хотите получать как можно меньше предупреждений.




Попробуем поработать с фильтром Certs.
В начале работы с фильтром, когда база данных ещё не сформирована, необходимо включить обязательную проверку устаревания кеша браузера. Для этого на вкладке "HTTP" установите фильтр "Кеширование" в значение "Проверять" (на белом фоне; в первых двух столбцах). Ниже (через несколько примеров) мы посмотрим что будет, если этого не сделать.
Вместо этого, можно однократно сбросить кеш браузера при начале использования фильтра (возможно, это даже предпочтительней).


Зайдём на https://addons.mozilla.org/firefox/addon/http-useragent-cleaner/ . Затем проверим обновления FireFox. Фильтр сработает и откроет перед нами вкладку с логом ошибок сертификатов. Ошибки сортируются так, что выше расположены самые новые.

Сейчас мы увидим одну ошибку, выглядящую примерно так:
Дата15 Июль 2016 г. 21:10:55
tab url
URLhttps://aus5.mozilla.org/update/3/Firefox/47.0.1/20160623154057/WINNT_x86-msvc-x64/ru/release/Windows_NT%206.1.1.0%20(x64)/default/default/update.xml?force=1
СлужебныйДА
IP52.32.169.109:443
ПриватныйНЕТ
0DigiCert Global Root CA
ИзвестныйНЕТ
Время жизни10 Ноябрь 2006 г. 3:00:00 => 10 Ноябрь 2031 г. 3:00:00
sha2 25643:48:A0:E9:44:4C:78:CB:26:5E:05:8D:5E:89:44:B4:D8:4F:96:62:BD:26:DB:25:7F:89:34:A4:43:C7:01:61
Номер07:D5:0D:C7:F3:68:98:2F:AB:5E:19:B9:C5:FB:A1:5C
Оценка стойкости:подпись/хеш91.14 / 100
Старый сертификатНет информации
1DigiCert SHA2 Secure Server CA
ИзвестныйНЕТ
Время жизни8 Март 2013 г. 15:00:00 => 8 Март 2023 г. 15:00:00
sha2 25615:4C:43:3C:49:19:29:C5:EF:68:6E:83:8E:32:36:64:A0:0E:6A:0D:82:2C:CC:95:8F:B4:DA:B0:3E:49:A0:8F
Номер07:D5:0D:C7:F3:68:98:2F:AB:5E:19:B9:C5:FB:A1:5C
Оценка стойкости:подпись/хеш91.55 / 81.49
Старый сертификатНет информации
2aus5.mozilla.org
ИзвестныйНЕТ
Время жизни24 Июль 2015 г. 3:00:00 => 28 Июль 2017 г. 15:00:00
sha2 25660:E8:E2:E0:92:BD:C3:B6:9C:E2:60:D6:A5:2F:90:FD:63:68:76:86:00:F9:11:A2:2E:E9:F1:B8:83:3A:BE:EA
Номер07:D5:0D:C7:F3:68:98:2F:AB:5E:19:B9:C5:FB:A1:5C
Оценка стойкости:подпись/хеш91.96 / 90.09
Старый сертификатНет информации


Почему фильтр сработал? aus5.mozilla.org и addons.mozilla.org пользуются разными цепочками доверия, а значит, домен второго уровня известен, но ещё нет в наличии известной цепочки доверия.

Посмотрим на лог. Здесь мы видим дату, когда была зафиксирована ошибка, а также, в поле "tab url", адрес вкладки, из которой был соответствующий ошибке запрос. Адрес запроса мы видим в поле URL.
В данном случае, поле "tab url" пусто, так как запрос служебный (что отображается в поле "Служебный"). Служебными являются запросы на обновление и некоторые запросы, посылаемые дополнениями, а также некоторые другие запросы, отсылаемые браузером вне связи с загрузкой страниц (статистика, OCSP).
В поле "IP" мы видим IP-адрес запроса и порт. В поле "Приватный" мы видим статус приватности: запрос был отправлен не из приватного режима браузера.

Далее мы видим перечисление сертификатов. Под цифрой "0" идёт корневой сертификат, в данном случае "DigiCert Global Root CA".
Под цифрой "1" указана информация о промежуточном сертификате. И последний сертификат - сертификат сервера.

В поле "Старый сертификат" видим надпись "Нет информации". Значит, для данного хоста не удалось найти информацию о сертификатах, которые он использовал ранее. Это естественно, так как мы только что запустили дополнение и оно не успело собрать такую информацию.

Давайте убедимся, что с сертификатами, скорее всего, всё впорядке.
Обратим внимание на то, что оценки стойкости сертификатов в порядке: они все выше 80-ти (примерно, можно сказать, что 95 - отлично, 84 - очень хорошо, 77 - хорошо, 63 - удовлетворительно, 45 - допустимо). Здесь нет сертификатов, лёгких для взлома, скажем, с оценкой 12%.
Теперь зайдём на любой whois (ip lookup) сервис, например, http://wservice.info/.
Введём IP-адрес узла и посмотрим, кому он принадлежит. Получим информацию, аналогичную этой:
52.32.169.109 находится на хосте: ec2-52-32-169-109.us-west-2.compute.amazonaws.com
Organization: Amazon Technologies Inc. (AT-88-Z)

Судя по всему, этот IP-адрес является IP-адресом сети распределения содержимого (CDN), которая используется, чтобы снять нагрузку с серверов Mozilla.
Это не очень хорошо, так как мы не знаем точно, чей это IP-адрес.
Давайте посмотрим другим способом. На странице "Сертификаты" (кнопка "Сертификаты" вкладки "FireFox" дополнения) нажмём кнопку "Hosts". Со страницы ошибок сертификатов возьмём хеш "sha2 256" от промежуточного сертификата. Это строка "15:4C:43:3C:49:19:29:C5:EF:68:6E:83:8E:32:36:64:A0:0E:6A:0D:82:2C:CC:95:8F:B4:DA:B0:3E:49:A0:8F".
Попробуем поискать эту строку (без кавычек, естественно) на странице Hosts.
Мы видим, что эта строка используется на shavar.services.mozilla.com с IP 54.68.114.20 , и addons.cdn.mozilla.net с 54.192.94.74 , и developer.cdn.mozilla.net с 52.85.185.245.
Давайте посмотрим, кому принадлежит 54.68.114.20. К сожалению, опять Amazon.
Однако мы видим, что и там, и там используются одни и те же промежуточные сертификаты, и IP принадлежат Amazon, а все хосты - Mozilla.
Надо учитывать, что mozilla.net, mozilla.org и mozilla.com принадлежат одной фирме, однако дополнение об этом не знает. Поэтому мы можем сказать, что, вероятно, с сертификатами всё впорядке, а срабатывание ложное.

Рассмотрим ещё ряд ложных срабатываний.
Мы зашли на https://yandex.ru, а потом на https://passport.yandex.ru . Получили срабатывание фильтра.

Дата15 Июль 2016 г. 21:11:42
tab urlhttps://passport.yandex.ru/passport?mode=passport
URLhttps://passport.yandex.ru/passport?mode=passport
СлужебныйНЕТ
IP87.250.250.24:443
ПриватныйНЕТ
0GlobalSign
ИзвестныйНЕТ
Время жизни15 Декабрь 2006 г. 11:00:00 => 15 Декабрь 2021 г. 11:00:00
sha2 256CA:42:DD:41:74:5F:D0:B8:1E:B9:02:36:2C:F9:D8:BF:71:9D:A1:BD:1B:1E:FC:94:6F:5B:4C:99:F4:2C:1B:9E
Номер29:4E:4E:A8:9F:38:AE:9F:B9:8B:FE:CD
Оценка стойкости:подпись/хеш91.14 / 100
Старый сертификатНет информации
1GlobalSign Extended Validation CA - SHA256 - G2
ИзвестныйНЕТ
Время жизни20 Февраль 2014 г. 13:00:00 => 15 Декабрь 2021 г. 11:00:00
sha2 25624:F9:1C:07:05:A0:A5:33:86:41:B3:65:FB:0D:9D:97:09:B5:62:97:CF:F1:85:7E:73:C0:2C:16:36:D4:86:AA
Номер29:4E:4E:A8:9F:38:AE:9F:B9:8B:FE:CD
Оценка стойкости:подпись/хеш91.67 / 84.77
Старый сертификатНет информации
2passport.yandex.ru
ИзвестныйНЕТ
Время жизни30 Ноябрь 2015 г. 17:21:02 => 30 Ноябрь 2017 г. 17:21:02
sha2 2566B:6B:D2:0B:A8:31:06:5B:77:8F:D8:1E:86:39:41:CC:B3:78:9B:13:2E:B6:80:4F:85:D4:2C:B1:B7:BD:37:6E
Номер29:4E:4E:A8:9F:38:AE:9F:B9:8B:FE:CD
Оценка стойкости:подпись/хеш92.08 / 90.21
Старый сертификатНет информации


Эту запись мы не получим в режиме Weak, так как речь идёт о неизвестном хосте (passport.yandex.ru).

Сертификаты стойкие. Проверим IP.
descr: Yandex enterprise network
role: Yandex LLC Network Operations
address: Yandex LLC
address: 16, Leo Tolstoy St.
address: 119021
address: Moscow
address: Russian Federation
Похоже, этот IP принадлежит Яндексу.
Попробуем проверить хеш промежуточного сертификата на странице "Hosts". Хеш "24:F9:1C:07:05:A0:A5:33:86:41:B3:65:FB:0D:9D:97:09:B5:62:97:CF:F1:85:7E:73:C0:2C:16:36:D4:86:AA".
Хеш отсутствует. Мы не можем точно сказать, верно ли то, что для этого поддомена используется такой сертификат. В принципе, мы могли бы использовать соответствующее дополнение для этого perspectives, однако его использование выходит за рамки данной справки (см. в отзывах к этому дополнению, какие удостоверяющие сервера надо вводить).

В принципе, ничего крамольного мы не увидели. Поэтому отнесём и это к ложному срабатыванию: просто для разных поддоменов Яндекс использовал разные цепочки доверия. Если хотим дополнительной проверки, можем посмотреть, какой сертификат получает браузер при работе через tor.
Также мы обращаем внимание на то, что с этим промежуточным сертификатом нет иных ложных срабатываний для другого домена. Если бы кто-то хотел прослушивать наш траффик с использованием краденного сертификата, то этот сертификат, скорее всего, был бы одинаковым для совершенно разных доменов.



Допустим, мы не включили фильтр "Кеширование" в статус "Проверять". Допустим мы зашли на сайт https://twitter.com/ . Допустим, также, что мы ранее интенсивно пользовались этим сайтом.

К сожалению, мы можем получить очень большое количество ложных срабатываний, так как дополнение не запоминает сертификаты, полученные из кеша браузера (чтобы перестать их получать, надо включить фильтр "Кеширование" как описано выше и поработать с сайтом какое-то время).
Такие ложные срабатывания выглядят примерно так:
Дата15 Июль 2016 г. 21:11:55
tab urlhttps://twitter.com/
URLhttps://pbs.twimg.com/profile_images/732172882378424320/UDo2nnxR_bigger.jpg
СлужебныйНЕТ
IP
ПриватныйНЕТ
0DigiCert High Assurance EV Root CA
Известный?
Время жизни10 Ноябрь 2006 г. 3:00:00 => 10 Ноябрь 2031 г. 3:00:00
sha2 25674:31:E5:F4:C3:C1:CE:46:90:77:4F:0B:61:E0:54:40:88:3B:A9:A0:1E:D0:0B:A6:AB:D7:80:6E:D3:B1:18:CF
Номер03:DE:AC:E1:60:45:BE:63:AB:21:47:65:AD:6F:CC:3A
Оценка стойкости:подпись/хеш91.14 / 100
Старый сертификатНет информации
1DigiCert High Assurance CA-3
Известный?
Время жизни2 Апрель 2008 г. 15:00:00 => 3 Апрель 2022 г. 3:00:00
sha2 25621:EB:37:AB:4C:F6:EF:89:65:EC:17:66:40:9C:A7:6B:8B:2E:03:F2:D1:A3:88:DF:73:42:08:E8:6D:EE:E6:79
Номер03:DE:AC:E1:60:45:BE:63:AB:21:47:65:AD:6F:CC:3A
Оценка стойкости:подпись/хеш91.2 / 5.23
Старый сертификатНет информации
2*.twimg.com
Известный?
Время жизни21 Декабрь 2015 г. 3:00:00 => 30 Декабрь 2016 г. 15:00:00
sha2 256DF:18:51:DD:5A:AA:5B:22:94:44:0F:18:87:E2:27:BE:20:6A:77:A9:21:FE:6F:03:E8:A6:96:47:F8:05:D5:EA
Номер03:DE:AC:E1:60:45:BE:63:AB:21:47:65:AD:6F:CC:3A
Оценка стойкости:подпись/хеш92.1 / 6.53
Старый сертификатНет информации


Ранее поля "Известный" содержали значения "Нет" и были подсвечены красным. То есть сертификаты были новые. Сейчас информацию об известности сертификатов найти не удалось совсем: в полях стоят "?" и ни одно поле не подсвечено.
Мы видим, что поле IP не заполнено - верный признак кешированного запроса. Мы также видим, что таких запросов очень много (я привёл только один из сотни или даже более). У некоторых из них поля "Известный" заполнены значением "Нет", но и там IP - пустой.
Такие запросы сами не исчезнут в связи с определённым построением дополнения и их будет очень много.

Именно поэтому нужно установить фильтр "Кеширование" в "Проверять" при начале работы с дополнением.

Такие запросы могут быть как просто старыми, когда сертификаты уже сменились, так и вправду полученными с другими сертификатами.

Давайте рассмотрим работу фильтра на https://twitter.com/ с включённым фильтром "Кеширование".
Допустим, мы увидели что-либо такое:

Дата15 Июль 2016 г. 21:14:28
tab urlhttps://twitter.com/
URLhttps://pbs.twimg.com/profile_images/665473901791694848/Chn_LXba_bigger.jpg
СлужебныйНЕТ
IP93.184.220.66:443
ПриватныйНЕТ
0DigiCert High Assurance EV Root CA
ИзвестныйДА
Время жизни10 Ноябрь 2006 г. 3:00:00 => 10 Ноябрь 2031 г. 3:00:00
sha2 25674:31:E5:F4:C3:C1:CE:46:90:77:4F:0B:61:E0:54:40:88:3B:A9:A0:1E:D0:0B:A6:AB:D7:80:6E:D3:B1:18:CF
Номер03:DE:AC:E1:60:45:BE:63:AB:21:47:65:AD:6F:CC:3A
Оценка стойкости:подпись/хеш91.14 / 100
Старый сертификатНет информации
1DigiCert High Assurance CA-3
ИзвестныйНЕТ
Время жизни2 Апрель 2008 г. 15:00:00 => 3 Апрель 2022 г. 3:00:00
sha2 25621:EB:37:AB:4C:F6:EF:89:65:EC:17:66:40:9C:A7:6B:8B:2E:03:F2:D1:A3:88:DF:73:42:08:E8:6D:EE:E6:79
Номер03:DE:AC:E1:60:45:BE:63:AB:21:47:65:AD:6F:CC:3A
Оценка стойкости:подпись/хеш91.2 / 5.23
Старый сертификатНет информации
2*.twimg.com
ИзвестныйНЕТ
Время жизни21 Декабрь 2015 г. 3:00:00 => 30 Декабрь 2016 г. 15:00:00
sha2 256DF:18:51:DD:5A:AA:5B:22:94:44:0F:18:87:E2:27:BE:20:6A:77:A9:21:FE:6F:03:E8:A6:96:47:F8:05:D5:EA
Номер03:DE:AC:E1:60:45:BE:63:AB:21:47:65:AD:6F:CC:3A
Оценка стойкости:подпись/хеш92.1 / 6.53
Старый сертификатНет информации


Стойкость ужасная - 6% (в сертификате используется хеш sha1, что мы можем увидеть на вкладке "TLS log"). IP-адрес 93.184.220.66 принадлежит вообще неизвестно кому:
person: Derrick Sawyer
address: 2850 Ocean Park Blvd., Suite 200, Santa Monica CA 90405 USA

Давайте посмотрим на странице "Hosts", что там написано о "pbs.twimg.com".
Возможно, мы можем увидеть уже две записи об этом хосте. Об IP 93.184.220.66 и 104.244.43.71. При этом последний IP имеет запись в whois
Organization: Twitter Inc. (TWITT)
То есть гораздо больше похож на правду.

Сказать что-либо хорошее, в данном случае, о подлинности сертификата с IP 93.184.220.66 трудновато. Кроме того, что мы не видим этого сертификата на других сайтах и то, что в базе perspectives такой сертификат время от времени появляется.
Пользователю прийдётся самому решать, воспользоваться данным сертификатом или нет. При этом, дополнение не может разграничить доступ к сайту только по доверенным сертификатам, поэтому придётся отказаться от использования всего сайта вообще (до тех пор, пока сертификаты не станут нормальными - это можно проверить, заходя на сайт в режиме Certs:+ без авторизации).




Необходимо заметить, что Certs:+ не блокирует отсылку запроса к серверу (дополнение FireFox не может этого делать). Поэтому при использовании любого сайта куки, даже в режиме Certs:+, могут быть прослушаны злоумышленником. В остальных режимах в браузере ещё и отобразится загруженное содержимое. Кроме этого, в остальных режимах такой неизвестный сертификат будет добавлен в список известных.

Рассмотрим последний пример.

Дата15 Июль 2016 г. 22:01:19
tab url
URLhttps://assets-cdn.github.com/favicon.ico
СлужебныйНЕТ
IP151.101.12.133:443
ПриватныйНЕТ
0DigiCert High Assurance EV Root CA
ИзвестныйДА
Время жизни10 Ноябрь 2006 г. 3:00:00 => 10 Ноябрь 2031 г. 3:00:00
sha2 25674:31:E5:F4:C3:C1:CE:46:90:77:4F:0B:61:E0:54:40:88:3B:A9:A0:1E:D0:0B:A6:AB:D7:80:6E:D3:B1:18:CF
Номер07:7A:5D:C3:36:23:01:F9:89:FE:54:F7:F8:6F:3E:64
Оценка стойкости:подпись/хеш91.14 / 100
Старый сертификатНет информации
1DigiCert SHA2 High Assurance Server CA
ИзвестныйНЕТ
Время жизни22 Октябрь 2013 г. 15:00:00 => 22 Октябрь 2028 г. 15:00:00
sha2 25619:40:0B:E5:B7:A3:1F:B7:33:91:77:00:78:9D:2F:0A:24:71:C0:C9:D5:06:C0:E5:04:C0:6C:16:D7:CB:17:C0
Номер07:7A:5D:C3:36:23:01:F9:89:FE:54:F7:F8:6F:3E:64
Оценка стойкости:подпись/хеш91.63 / 83.52
Старый сертификатНет информации
2www.github.com
ИзвестныйНЕТ
Время жизни20 Январь 2016 г. 3:00:00 => 6 Апрель 2017 г. 15:00:00
sha2 25658:65:35:27:54:1E:23:91:C7:F1:78:97:A2:A8:FE:90:2B:E8:1E:7A:9F:58:64:72:BC:97:64:F0:C5:85:1B:EE
Номер07:7A:5D:C3:36:23:01:F9:89:FE:54:F7:F8:6F:3E:64
Оценка стойкости:подпись/хеш92.13 / 90.26
Старый сертификатНет информации


И этот отчёт нам будет выдан только в режимах + или Info, но не Weak.

Со стойкостью всё впорядке. В хостах мы видим, что github.com и assets-cdn.github.com расположены на разных IP 192.30.253.113 и 151.101.12.133.
Для первого всё очевидно:
Organization: GitHub, Inc. (GITHU)

Для второго не очень.
Organization: Fastly (SKYCA-3)
Сказать об IP ничего не получается, и только имя хоста "assets-cdn.github.com" даёт нам возможность предположить, что это CDN. Это же написано и на сайте, на который имеется ссылка в описании IP-адреса. Однако достоверно утверждать ничего нельзя.




С точки зрения работы данного фильтра, более безопасно использовать сайты, каждый раз выходя из них после завершения работы. При начале работы, необходимо посмотреть на отсутствие недоверенных сертификатов и только тогда уже входить на сайт (вводить логин и пароль). Однако, в любом случае, дополнение не сможет защитить от появления неизвестного сертификата во время работы с сайтом. Работа фильтра Certs носит информационный характер.




Если срабатывание фильтра носит одиночный характер, то пользователя (возможно, с задержкой в несколько секунд) перебрасывает на вкладку с результатами срабатывания фильтра.
В некоторых случаях, при более чем одном срабатывании фильтра, перенаправление на вкладку с результатами работы фильтра происходит с задержкой до 17-ти секунд. Это сделано специально, иначе при большоим количестве срабатываний браузером пользоваться невозможно.




В случае, если есть какой-то подозрительный сертификат, однако вы точно не знаете что это, вы можете назначить его заблокированным.
Это значит следующее: 1. Сообщения о том, что он используется будут выдаваться один раз за сессию (запуск браузера; отключение дополнения или его обновление) для каждого нового хоста вкладок. 2. На режимах + и Info всё загруженное содержимое будет блокировано и в логе вкладки будет об этом сообщение. На режиме Weak содержимое блокироваться не будет, но в логе вкладки сообщения будут.

При этом http-запросы всё равно будут идти на хосты с этим сертификатом, что может повлечь за собой кражу аутентификационных данных из куков. Поэтому пользоваться сайтом, где есть подозрительный сертификат, не стоит (возможно, стоит сразу же выйти из него, закончив сессию работы с сайтом по кнопке "выход" на сайте и больше не входить на сайт). Кража аутентификационных данных возможно только там, где она посылается, то есть на том домене, где вы авторизованны и куда посылаются авторизованные куки.


Для того, чтобы поставить сертификат в заблокированные, необходимо пройти на страницу "Hosts" (вкладка "FireFox", кнопка "Сертификаты", кнопка "Hosts"). Затем найти нужный сертификат. Рядом с хешем сертификата стоит знак . После нажатия на него и некоторого ожидания, хеш сертификата будет внесён в чёрный список, а рядом со всеми хешами этого сертификата появится знак , а вверху страницы "Hosts" появится чёрный список. Нажатие на выведет сертификат из чёрного списка.
В списке ошибок сертификатов для таких сертификатов будет отображаться дополнительная строка "Blocked sha2" красного цвета с хешем, по которому было принято решение о блокировке. Для всех сертификатов статус "Известный" будет установлен в "?" вне зависимости от известности.



Иногда сайты на одном домене второго уровня никак не связаны друг с другом. Однако, при заходе на сайт можно получить сообщение о смене сертификата, при том, что вы точно не заходили на этот сайт ранее. Графа "Старый сертификат", скорее всего, пуста. Это может быть как раз из-за того, что ранее вы посещали совершенно другой сайт на том же домене второго уровня.




На серверах google сертификаты меняются довольно часто, поэтому для них рекомендуется постоянно включённый режим Certs:Weak.
"td[:1]=google.ru | td[:1]=google.com | td[:1]=blogspot.ru | td[:1]=blogblog.com | td[:1]=blogger.com | td[:1]=blogspot.com | rd[:1]=youtube.com".




Главная страница
Общие слова
Раздел "Функции вкладок HTTP и FireFox"

Раздел "Функции вкладки 'Сторонние'"
Настройка разрешения сервисных соединений и перенаправления на https
Режимы фильтров

Раздел "Общие настройки дополнения"
Раздел "Управление сертификатами"
Раздел "Контроль изменений сертификатов" (фильтр Certs)
Раздел "Чтение оценки TLS и HPKP" (фильтр CertsHPKP)

Проблемы с фильтрами, часто не отображающиеся в логах

Новости