Дополнение для FireFox "HTTP UserAgent cleaner" - справка



 Support(English; do not use Google translate, if do not speak English - write in the language that you know. If needed, my crypto key ( https://www.gpg4win.org/ ) is C64BE61A in keys.gnupg.net [0ADA 369A 692F 515F F4CC 6C2B D30A C753 C64B E61A])
Поддержка(на русском. Если хотите шифровать переписку, мой GnuPG-ключ шифрования ( https://www.gpg4win.org/ ): C64BE61A на keys.gnupg.net [0ADA 369A 692F 515F F4CC 6C2B D30A C753 C64B E61A])






Дополнение даёт две оценки стойкости TLS. Это стойкость шифрования TLS и время действия HPKP.


HPKP позволяет значительно повысить безопасность соединения с помощью Public Key Pinning (Certificat Pinning).
Дело в том, что при утере удостоверяющим центром любого промежуточного сертификата, способного подписывать сертификаты любых серверов, весь интернет находится в опасности. Мы не можем узнать, нам отдают подлинный сертификат сервера или подложный сертификат, подписанный украденным (или выданным по запросу правительства некоторой страны) промежуточным сертификатом.

Для предотвращения подмены сертификата и используется технология HPKP (Public Key Pinning for HTTP).
Сервер, при первом использовании, объявляет, что есть доверенные сертификаты, и использование других не допускается. Поэтому при попытке перехвата соединения другим сертификатом, FireFox откажется соединяться с сервером, предотвратив утечку данных.

При этом FireFox, вместо сайта, выдаст страницу с ошибкой загрузки соединения, где будет написано, что имеется нарушение HPKP или HSTS политики.

Чтение оценки.
Оценка TLS. 85% - великолепно, 70% - отличная оценка для сайта, 55% - очень хорошая; 40% - хорошая, 25% - удовлетворительная, 10% - допустимая.
Оценка HPKP. 30% - допустимая, 45% - хорошая, 60% - отличная. Большинство сайтов не используют HPKP вообще (оценка 0).




На этой картинке мы видим оценку HPKP, состояющую из двух частей: времени жизни и сертификат для закрепления. Серверный сертификат получает оценку 100%, остальные сниженную оценку. Время жизни говорит о том, как долго настройка закрепления сертификата имеет силу (в днях). После истечения этого срока, HPKP перестаёт действовать до тех пор, пока вы снова не зайдёте на сайт и не получите обновлённые HPKP-данные. Если время жизни меньше 45-ти дней, оценка получает штраф в два раза.




Так как большинство сайтов не используют HPKP, то дополнение предоставляет возможность использования принудительного HPKP с помощью фильтра CertsHPKP. Работа фильтра CertsHPKP - очень грубая технология, требующая повышенного внимания пользователя, используйте её, если хорошо понимаете, как работает HPKP, и вам нужна повышенная безопаность. Кроме этого, методика работы фильтра CertsHPKP противоречит некоторым особенностям архитектуры FireFox, из-за чего безопасность не совсем полная (с некоторой вероятностью возможно использование подложного сертификата, поэтому используйте фильтр Certs:Info или Certs:Weak совместно).

Включите на вкладке "Сторонние" фильтр CertsHPKP. Это делается аналогично фильтру Certs (всё равно используйте его), однако, необходимо учитывать следующее. CertsHPKP вынуждает FireFox сохранять информацию о сертификатах хоста, а значит, если CertsHPKP включён в приватном режиме, то информация о посещённых в приватном режиме хостах будет сохранена. Если вы этого не хотите, используйте соответстующее условие для правила, устанавливающего фильтр CertsHPKP. Это условие "!PRIVATE" (с типом правила "obj").
Кроме этого, FireFox работает нестабильно в приватном режиме с включённым фильтром CertsHPKP. Поэтому его отключение в приватном режиме предпочтительно (возможны искажения цепочки доверия сертификатов и выставляемой сайту оценки).


CertsHPKP:+S - принудительно добавляет HPKP-правило для существующего сертификата сервера. CertsHPKP:+I - для промежуточного сертификата. CertsHPKP:+R - для корневого сертификата.

Оригинальная технология HPKP позволяет серверу незаметно от пользователя изменять сертификаты на более новые. В отличие от оригинальных правил HPKP, фильтр CertsHPKP при смене сертификата не может обеспечить такой работы. FireFox будет блокировать соединение, указывая на ошибку в сертификате. В логе дополнения, а также в консоли будут соответствующие записи типа: "HUAC information: In the request was found the error of loading, this may be relevance to HPKP" (в консоли) или "In the request was found the error of loading, this may be relevance to HPKP or certs autodisable" (в логе).

При появлении таких надписей, вы должны любым способом убедиться, что с сертификатами всё в порядке (например, посмотреть, что происходит с сайтом, из других браузеров). Если это так, для восстановления функционирования сайта, необходимо для страницы, на которой произошло срабатывание блокировки FireFox, установить фильтр CertsHPKP в режим CertsHPKP:X (с приоритетом выше, чем фильтр CertsHPKP:+S). Теперь фильтр CertsHPKP:X сбросит HPKP-информацию для тех хостов, которые были заблокированы при следующей попытке загрузки. Очистите лог (консоль), перезагрузите страницу и посмотрите, что в логе больше нет таких сообщений. Если есть, то перезагрузите страницу ещё раз. После этого, если всё сделано правильно, сообщения должны исчезнуть. Теперь можно отключить CertsHPKP:X.



google.com и другие сайты Google часто меняют сертификаты и не используют HPKP. Поэтому, использовать CertsHPKP:+S для этих сервисов не получится: страницы будут часто блокироваться, а функциональность сайтов нарушаться. Используйте CertsHPKP:+I (промежуточные сертификаты Google меняет редко). Аналогично, когда вы используете фильтр Certs в режиме Certs:Weak, используйте и CertsHPKP:+I вместо CertsHPKP:+S.
rd[:1]=blogspot.ru | rd[:1]=blogblog.com | rd[:1]=blogger.com | rd[:1]=blogspot.com | rd[:1]=google.com | rd[:1]=google.ru | rd[:1]=gstatic.com | rd[:1]=googleapis.com | rd[:1]=youtube.com | rd[:1]=ytimg.com | rd[:1]=googlevideo.com | rd[:1]=gmail.com | rd[:1]=googleusercontent.com




Главная страница
Общие слова
Раздел "Функции вкладок HTTP и FireFox"

Раздел "Функции вкладки 'Сторонние'"
Настройка разрешения сервисных соединений и перенаправления на https
Режимы фильтров

Раздел "Общие настройки дополнения"
Раздел "Управление сертификатами"
Раздел "Контроль изменений сертификатов" (фильтр Certs)
Раздел "Чтение оценки TLS и HPKP" (фильтр CertsHPKP)

Проблемы с фильтрами, часто не отображающиеся в логах

Новости