nemodufruine
@nemodufruine
Иженер телекомуникаций

Почему не открывается toster.ru в Firefox?

Привет! Сегодня заметил, что данный ресурс не открывается с браузера Firefox 69.0.2 (64-bit), получаю ошибку MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE

При подключении toster.ru произошла ошибка. Сервер использует прикрепления ключей (HPKP), но ни одного достоверного цепочки сертификатов сформировать не удалось. Нарушение прикрепления ключей невозможно проигнорировать. Код ошибки: MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE

Страница, которую вы пытаетесь просмотреть, не может быть показана, так как невозможно проверить достоверность полученных данных.
Пожалуйста, свяжитесь с владельцами веб-сайта и сообщите их об этой проблеме.
5d9af67065cfd768650824.png
  • Вопрос задан
  • 1716 просмотров
Решения вопроса 1
TosterModerator
@TosterModerator Куратор тега Тостер
Модератор Хабр Q&A
Проблема с пинами.
Пожалуйста, воспользуйтесь следующей инструкцией:
1) открыть about:support в Firefox, узнать адрес профиля
2) закрыть firefox, совсем
3) открыть для редактирования файл SiteSecurityServiceState.txt в папке профиля
4) найти там строчку, начинающуюся с toster.ru:HPKP и удалить её
5) сохранить файл и запустить Firefox

Описание проблемы:
Наши ресурсы используют расширение безопасности HPKP (public key pinning). Это расширение не позволяет незаметно подменить сертификат сайта давая браузеру возможность “запоминать” на длительный срок отпечатки публичного ключа сайта (в составе сертификата) и сверять в процессе дальнейшего обращения к сайту. Как бы здорово не звучало описание данной технологии, к сожалению, в процессе её использования она оказалась излишне громоздкой и потенциально проблематичной.
Так как в ряде случаев при смене сертификата на сайте (например, по окончании срока действия предыдущего), с сертификатом меняется и ключевая пара, соответственно, отпечаток (пин) тоже меняется, бытовала рекомендация указывать пин не ключа сертификата самого сайта, а промежуточного бюро (intermediate CA), срок действия сертификатов которого существенно выше и который “уж точно не поменяется в ближайшее время“. Мы тоже так поступали в первое время, хотя в какой-то момент избавились от данной практики на своих основных ресурсах. К сожалению, два наших ресурса (toster.ru и freelansim.ru) выпали из стандартного процесса деплоя балансировщиков нагрузки и там сохранилась старая схема пинов промежуточных бюро.
Несколько месяцев назад на этих двух сайтах стали подходить к концу сроки действия их сертификатов и мы приступили к их перевыпуску. Внезапно обнаружилось, что новые сертификаты от того же вендора, который выдавал предыдущие, теперь выдаются от нового промежуточного бюро (всему виной переименование Comodo в Sectigo). Так как в запасе между сроком окончания старых сертификатов и датой обнаружения данного факта было около одной недели, мы разместили оба набора пинов на сайтах и наиболее активные пользователи, зайдя в этот промежуток времени, автоматически обновили пин-кэш у себя в браузерах. Однако пользователи, которые посещали до этого данные сайты и не попавшие на них в тот промежуток времени, стали испытывать сложности с ошибками несоответствия набора хранящихся в кэше браузера пинов с предъявляемыми сайтами сертификатами.
К сожалению, на данном этапе мы никак не можем повлиять на браузеры пользователей и принудительно сбросить кэши пинов. Это невозможно с точки зрения технологии. К счастью, разработчики браузера Chrome уже отказались от верификации пинов, так как эта технология изжила себя с их точки зрения. Для пользователей второго по популярности браузера Firefox у нас есть инструкция, как исключить неверные пины из кэша. Для иных, менее используемых продуктов у нас нет инструкций и пользователю необходимо обратиться в поддержку соответствующего вендора. Например, некоторые антивирусы перехватывают трафик https своих пользователей и сами своими средствами проверяют какие-то параметры, в том числе пины. Мы в таких случаях вообще рекомендуем отказаться от функционала таких продуктов проверки https-трафика, так как это в принципе является спорной функциональностью с элементами MITM и потенциальной проблемой безопасности (разработчик антивируса технически имеет возможность собирать передаваемые браузером данные и обрабатывать их, в том числе чувствительную информацию типа паролей, номеров кредитных карт и т.д.) Если же пользователь не хочет отказываться от такой возможности, то ему следует обратиться в техподдержку вендора своего антивирусного решения с вопросом о том, как исключить недействительные hpkp пины из локального или “облачного” кэша данного продукта.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@766dt
Можно починить чуть проще.
Зайти в историю посещений и выбрать "Забыть об этом сайте" на любом пункте с Тостером.

5dcf2868c0ffc386604987.png
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
FUELUP Москва
от 120 000 до 160 000 ₽
от 130 000 до 200 000 ₽
AutoFAQ.ai Москва
от 150 000 до 230 000 ₽
25 окт. 2020, в 20:06
500 руб./в час
25 окт. 2020, в 19:57
30000 руб./за проект
25 окт. 2020, в 19:37
2500 руб./за проект