A Secure Website Certificate helps Firefox determine whether the site you are visiting is actually the site that it claims to be. This article explains how that works.

Table of Contents

Certificate and Certificate Hierarchy

When you visit a website whose web address starts with https , your communication with the site is encrypted to help ensure your privacy. Before starting the encrypted communication, the website will present Firefox with a certificate to identify itself.

An https web site is only secure to the extent that the web site is operated by someone in contact with the person who registered the domain name, and the communication between you and the website is encrypted to prevent eavesdropping. No other surety is implied.

When you visit a secure website, Firefox will validate the website’s certificate by checking that the certificate that signed it is valid, and checking that the certificate that signed the parent certificate is valid and so forth up to a root certificate that is known to be valid. This chain of certificates is called the Certificate Hierarchy.

Certificate Contents

Secure Website Certificates contain the following information.

Serial Number : Uniquely identifies the certificate.

Subject : Identifies the certificate owner, such as the name of the organization owning the certificate.

Issuer : Identifies the entity that issued the certificate.

Subject Alt Name Extension : List of website addresses that the certificate can be used to identify.

Signature : Data that verifies that the certificate came from the Issuer.

Signature Algorithm : Algorithm used to create the Signature.

Valid-From : The date the certificate is first valid.

Valid-To : The expiration date.

Key-Usage and Extended Key Usage : Specifies how the certificate may be used, such as for confirming ownership of a website (Web Server Authentication).

Public Key : The public part of the data that comprises the public/private key pair. The public and private keys are mathematically linked, so the data encrypted with the public key can only be decrypted with the corresponding private key.

Public Key Algorithm : Algorithm used to create the Public Key.

Fingerprint : An abbreviated form of the Public Key.

Fingerprint Algorithm : Algorithm used to create the Fingerprint.

View a Certificate

When you have browsed to a website whose web address starts with https, there will be a lock icon at the begining of the address bar. Click on the icon and on the right arrow to get a pop-up that says who verified the certificate, then click on More Information .

In that window, click on Security , then View Certificate .

Problematic Certificates

When you browse to a website whose web address starts with https and there is a problem with the Secure Website Certificate, you will see an error page. Some common certificate errors are described in this article .

To view the problematic certificate, follow these steps:

Reporting Certificate Errors

Certificate error pages include an option to report the error to Mozilla. Sharing the address and site identification (the Secure Website Certificate) for the site that was untrusted will help Mozilla identify and block malicious sites to keep you better protected.

В данной статье приводится инструкция по установке сертификатов или ключей ЭЦП в Mozilla Firefox.

Данный браузер, в отличии от других, имеет свое собственное хранилище сертификатов, не используя общее хранилище сертификатов Windows, поэтому например не получается установить ключ используя Мастер настройки в Кабинет Налогоплательщика РК.

Ручная установка ключей ЭЦП в данный браузер сложности не представляет.

Пример показан на: ОС Windows 8.1 x64 и Mozilla Firefox 33.

Если вы хотите установить сертификаты в другие браузеры (Internet Explorer, Google Chrome, Yandex) перейдите к .

Итак, запускаем браузер Mozilla Firefox, щелкаем на пиктограмме Меню и переходим к кнопке Настройки .

Изображение 1. Открываем настройки Mozilla Firefox

В открывшемся окне настроек, переходим на вкладку Дополнительные , вкладка Сертификаты и нажимаем кнопку Просмотр сертификатов .

Изображение 2. Открываем настройки сертификатов в Mozilla Firefox

В этом окне переходим на вкладку Ваши сертификаты (именно в этой вкладке отображается список установленных ключей для входа на сайты), нажимаем кнопку Импортировать .

Указываем путь до вашего ключа аутентификации.

Для ключа Налогового Комитета(НК) это файл вида РНН_БИН.p12 , для ЭЦП это файл AUTH_RSA и нажимаем кнопку Открыть .

Изображение 3. Импортируем ключ AUTH_RSA в хранилище сертификатов Mozilla Firefox

Браузер запрашивает пароль на ключ, по-умолчанию пароль на ключи выданные ЦОН и НК — 123456.

Для большей безопасности ваших ключей, вы можете .

Вводим пароль и нажимаем ОК .

Изображение 4. Вводим пароль на импортируемый ключ

Данное сообщение свидетельствует об успешной установке ключей.

Изображение 5. Сообщение об успешной установки сертификатов в Mozilla Firefox

При установке сертификатов, так же возможно появление ошибки: Операция PKCS #12 завершилась неудачей по неизвестным причинам

Данное сообщение не является критичным, нажимайте кнопку ОК и проверяйте список ключей, ключ должен добавиться в хранилище сертификатов и будет готов к использованию для входа на сайт.

Изображение 6. Ошибка: Операция PKCS #12 завершилась неудачей по неизвестным причинам

ВНИМАНИЕ:

Если после сообщения о успешном импорте или появлении ошибки Операция PKCS #12 завершилась неудачей , ключ не отобразился в списке ключей, то либо вы пытаетесь импортировать неправильный ключ (например ключ GOST или поврежденный ключ), либо у вас повреждены настройки хранилища Mozilla Firefox. В случае повреждения настроек Mozailla Firefox, выполните .

После импорта ключа, вы должны увидеть в окне Управление сертификатами , добавленный вами сертификат ЭЦП.

Изображение 7. Окно списка установленных ключей хранилища Mozilla Firefox

На этом установка ЭЦП в браузер mozilla Firefox — успешно завершена.

На данный момент большинство современных браузеров (Google Chrome, Amigo, Yandex Browser) не поддерживает ПО Java, что делает невозможным отправку налоговых форм или заявлений, подпись документов через эти браузеры.

Браузер Mozilla Firefox все еще поддерживает программное обеспечение Java, но сертификаты в него устанавливаются несколько по другому, нежели в других браузерах. В этой статье мы рассмотрим как же все-таки установить налоговые сертификаты в браузер Mozilla Firefox!

Что нам потребуется:

3. Наличие налогового ключа (например, ключ ранее установлен на вашем компьютере в хранилище типа PKCS12).

Теперь начнем устанавливать сертификаты в наш браузер.

Инструкция по установке сертификатов

Шаг №1 - запускаем Firefox и переходим во вкладку «Настройки». Как туда «попасть» показано на рисунке ниже.

После этого, переходим в раздел 1 «Дополнительно» - 2 «Сертификаты» - кнопка 3 «Просмотр сертификатов» (показано стрелками на рисунке ниже).

После нажатия кнопки «Просмотр сертификатов» у вас откроется окно просмотра сертификатов и вам нужно будет выбрать пункт «Ваши сертификаты».

Шаг №2 - импортируем налоговый ключ (сертификат).

Теперь потребуется нажать кнопку «Импортировать…».

В появившемся окне выбираем налоговый ключ (сертификат) и нажимаем на кнопку "открыть". Нужно выбрать папку, в которой хранится ваш ключ.

Шаг №3 - вводим пароль для ключей.

При выборе сертификата, у вас «выскочит» окно, которое потребует ввод пароля:

Пароль для сертификатов, как правило, «123456», если вы его не меняли. Вводим этот пароль и сразу же появится уведомление:

"Ваши сертификаты и закрытые ключи успешно восстановлены."

Жмём кнопку «ОК»

Теперь мы видим, что сертификат, который мы сейчас установили появился в окне «Управление сертификатами», еще раз нажимаем кнопку «ОК», закрываем «Настройки» и можно приступать к работе с государственными сайтами используя данный сертификат (сертификаты).

Слишком сложно или появляются ошибки?

Есть два пути решения проблемы

1. Быстрое решение — заказать настройку своего компьютера (установка сертификатов, Java, браузера и т. д..
Преимущества этого варианта не только в быстроте (обычно, менее 1 часа), но и в надежности выполненных работ. Один раз правильно настроив свой ПК, вы сможете легко пользоваться различными сайтами государственных услуг.

2. Бесплатное решение — попытаться разобраться самому. На нашем сайте есть обучающие статьи и онлайн-чат с консультантом. Будем рады вам помочь.

Расширение использования внутрикорпоративных сервисов, де-факто, являющихся Web приложениями, растет день ото дня. Это и порталы Sharepoint и Project server, и Exchange OWA. Не говоря уже о десятках самописных решений.
И каждый подобный сервис рано или поздно приходит к той точке развития, когда ценность данных начинает подразумевать полностью защищенный доступ даже изнутри сетевого периметра. То есть, использование SSL.
И все было бы хорошо, если каждая компаний являлась общепризнанным центром сертификации. Но, разумеется, это не так.
А это значит, что каждый браузер каждого пользователя каждой рабочей станции будет выводить уведомление о том, что сертификат узла, к которому обращается пользователь, не является выданным доверенным издателем.
Да, конечно же, будет странным предположить, что в крупной сети на клиентов не распространена доменная политика, указывающая правильный путь к светлому будущему 😉 Но, увы, браузеры альтернативные Internet Explorer, оказываются полностью бессильны и при обращении к внутренним ресурсам, вновь выдают ошибку доверия к предъявленному сервером сертификату.

Итак, нашей задачей является автоматизация импорта доверенного корневого сертификата в локальное хранилище сертификатов FireFox. Для ее решения нам понадобятся некоторые дополнительные компоненты:

1. Netscape Portable Runtime (NSPR). Подробную информацию и версию на свой вкус можно скачать по данной ссылке: http://www.mozilla.org/projects/nspr/ Для ускорения процесса, выберем предварительно откомпилированное решение.
2. Network Security Services (NSS). Подробную информацию и версию на свой вкус можно скачать по данной ссылке: http://www.mozilla.org/projects/security/pki/nss/ . Для ускорения процесса, выберем предварительно откомпилированное решение.

Из обоих дистрибутивов скопируем содержимое папок lib в отдельную пустую папку, например, c:\cadd . Затем отыщем внутри папки bin пакета NSS файл certutil.exe и также скопируем его в выбранную нами директорию.
Теперь нам нужно экспортировать необходимый для добавления сертификат корневого центра (в зависимости от архитектуры сети это также может быть сертификат дочернего центра, непосредственно выдавшего все сертификаты в организации). Сделать это можно на любой рабочей станции сети, запустив оснастку «Сертификаты». Сохраним экспортированный сертификат в ту же самую папку c:\cadd
Осталось самое интересное 😉 При помощи созданного нами пакета библиотек, модифицируем базу сертификатов FireFox. Правда, сначала нам необходимо понять, где же эта база находится:

1. Для систем за базе Windows XP профиль пользователя, содержащий в том числе и базу сертификатов, находится по пути %APPDATA%\Mozilla\Firefox\Profiles\[некоторое заранее неизвестное имя].default\
2. Для систем на базе Windows Vista путь, собственно говоря, точно такой же, вся разница появляется на этапе его преобразования токена %APPDATA% в абсолютное значение:
   1. Для XP абсолютный путь, как правило выглядит так: C:\Documents and Settings\username \Application Data\
   2. Для Vista, обычно, так: C:\Users\username \AppData\Roaming\

Таким образом, как мы видим, в полном пути до профиля FireFox у нас есть две переменных в пути: папки username и [некоторое заранее неизвестное имя].default

Впрочем, мы можем упростить свою задачу, посчитав, что запускаем скрипт для модификации базы с ключами из-под того пользователя, для которого нам и необходимо эту модификацию осуществить. В этом случае, неизвестная переменная в пути остается всего одна и мы можем написать, к примеру, следующий командный сценарий (c:\cadd\cadd.cmd ):

for /D /R «%APPDATA%\Mozilla\Firefox\Profiles» %%f in (*.default) do certutil.exe -A -n LibertineCA -t «TCu,Cu,Tuw» -d «%%f» -i c:\cadd\LibertineCA.cer

Да-да. Это действительно все. Остается только лишь перезапустить FireFox и убедиться, что сертификат корневого цента успешно добавлен в доверенные.

В принципе, на этом можно и остановиться. Ведь нет ни малейшей проблемы при помощи sccm создать соответствующий пакет с запуском от имени текущего вошедшего на рабочую станцию пользователя.

for /D %%f in («C:\Documents and Settings\*») do for /D %%z in («%%f\Application Data\Mozilla\Firefox\Profiles\*.default») do certutil.exe -A -n LibertineCA -t «TCu,Cu,Tuw» -d «%%z» -i c:\cadd\LibertineCA.cer

for /D %%f in («C:\Users\*») do for /D %%z in («%%f\AppData\Roaming\Mozilla\Firefox\Profiles\*.default») do certutil.exe -A -n LibertineCA -t «TCu,Cu,Tuw» -d «%%z» -i c:\cadd\LibertineCA.cer

Несколько неэстетично, зато, достаточно надежно. Теперь создадим пакет установки в sccm и запланируем его запуск от имени локального администратора на всех рабочих станциях домена.