Mozilla heeft een nieuwe feature aan Firefox toegevoegd waardoor de browser nu ook client-certificaten kan gebruiken die via macOS of Windows worden aangeboden. Iets wat volgens Mozilla met name handig voor zakelijke omgevingen is.
Wanneer Firefox een beveiligde verbinding met een website opzet stuurt de webserver ter verificatie een certificaat naar de browser. In sommige gevallen, bijvoorbeeld bij zakelijke authenticatiesystemen, wil de server dat de browser een certificaat terugstuurt. Dit client-certificaat, gecombineerd met de privésleutel die bij het betreffende certificaat hoort, zorgt ervoor dat de gebruiker zich bij de website kan authenticeren.
Deze client-certificaten en privésleutels bevinden zich vaak op hardware tokens of de certificaatopslag van het besturingssysteem. Voorheen moest Firefox gebruikmaken van third-party libraries om een client-certificaat op een hardware token te benaderen. Volgens Mozilla konden deze libraries voor stabiliteits- en veiligheidsproblemen zorgen.
Om dit probleem te verhelpen heeft Mozilla nu een library ontwikkeld waarmee Firefox de certificaatopslag van het besturingssysteem kan gebruiken. In plaats van third-party libraries te laden om met hardware tokens te communiceren kan Firefox deze taak door het besturingssysteem laten uitvoeren. Daarnaast kan Firefox direct naar deze certificaten zoeken, zodat gebruikers die niet eerst hoeven te exporteren en in Firefox te importeren. Dit beschermt niet alleen de privésleutels van het certificaat, maar zorgt er ook voor dat Firefox gebruik kan maken van client-certificaten waarvan de privésleutels niet zijn te exporteren.
"We verwachten dat onze zakelijke gebruikers, die eerst veel moeite moesten doen om Firefox werkend in hun omgeving te krijgen, veel profijt van deze feature zullen hebben", zegt Mozillas Dana Keeler. Om de feature te gebruiken moet via about:config de instelling "security.osclientcerts.autoload" op true worden gezet. Vooralsnog werkt dit alleen met Firefox 75 op macOS en Windows. Linuxgebruikers worden naar het OpenSC-project verwezen dat deze functionaliteit biedt.
Deze posting is gelocked. Reageren is niet meer mogelijk.