Mozilla Firefox 11

Firefox 12 ska släppas den 24 april 2011

Firefox 11 släpptes den 13 mars 2012
Firefox 10 släpptes den 31 januari 2012
Firefox 9 släpptes den 20 december 2011
Firefox 8 släpptes den 8 november 2011
Firefox 7 släpptes den 27 september 2011
Firefox 6 släpptes den 16 augusti 2011
Firefox 5 släpptes den 21 juni 2011
Firefox 4 släpptes den 18 mars 2011

https://wiki.mozilla.org/Releases

Firefox – Allmänt


 

Integrationen mellan Firefox och kortet/certifikaten sker via PKCS#11 vilket innebär att det vid installationen av Net iD skapas en koppling mellan Firefox och iidp11.dll (eller iidxsso.dll).

ff5_inst

ff5_inst_sec 

Om du installerat Firefox efter att Net iD installerades kommer denna koppling att saknas. Installera då om Net iD eller gå in i Net iD Administration och återupprätta kopplingen genom att:
a) Avmarkera nedanstående ruta – “Verkställ”
b) Markera rutan igen – “Verkställ” – “OK”
c) Kontrollera i Firefox
(Även om checkboxen talar om “plugin-komponenter” så sker kontroll även av PKCS#11-kopplingen)

ff3_inst_sec_mendconnection

Firefox – Inloggning


 

Fungerar men har en del brister:
Brist 1:

Är det verkligen vettigt att skriva ut all denna information rakt i ansiktet på användarna?

ff5_select_certificate

Brist 2:

I PIN-dialogen uppmanas användaren skriva in “huvudlösenordet”. Eftersom användarna utbildats till att veta att korten har PIN1 (för inloggning), PIN2 (för underskrift) och PUK-kod (för att låsa upp en blockad PIN-kod) så kan det bli lite förvirrat. Tror inte man i USA kallar PIN-kod för “master password” så det rör sig troligen om att inga krav fanns och då beslutade nån stackars utvecklare att det skulle heta just “master password”. Sen kom det in en oinsatt översättare och gjorde en direktöversättning.

 firefox2

Brist 3:

Tyvärr sorterar Firefox inte bort certifikat med KeyUsage=non-repudiation. Men detta hanteras genom att vi infört en specialparameter i Net iD som döljer sådana certifikat för Firefox. Se till att just ditt Net iD-paket har denna parameter satt om du använder Firefox tillsammans med kort som har “non-repudiation certifikat”.
Brist 4:

Firefox har en mindre smart lösning för att särskilja certifikaten från varandra. Det innebär att man i vissa fall, då man har flera certifikat på samma kort som råkat få samma label bara kan man bara se ett av dem. Dvs. man får inte ens chansen att välja. Förklaringen till detta hittar vi hos Mozilla. Citat:

What labels does NSS use to identify certificates?

NSS can use the CKA_LABEL attribute to identify user certificates (see previous question) and presents this label to the user. Therefore, each user certificate must have some label associated with it. The label for a token certificate is presented to the user as follows: token label:certificate label. This implies that each token label should be unique and meaningful to the user, and that each certificate label should be unique to the token. NSS gets the value of the CKA_LABEL attribute from the token. Labels should not have any trailing blank characters.

Ett i vårt tycke smartare sätt vore att fokusera på det faktiska innehållet i certifikaten och därigenom lyckas presentera något som verkligen är meaningful to the user istället för Firefox tekniska mumbojumbo.
Om vi lägger upp Internet Explorers certifikatvalsdialog bredvid den från Firefox blir det mycket tydligt.

ie_ff_select_certificate

SecMaker har en lösning på gång för de som drabbas av detta problem med att viss certifikat inte är valbara i Firefox. Vi kommer i version 5.6 av Net iD att ha en funktion i Net iD Plugin som kan uppdatera “certificate label” för alla certifikat som har CKA_MODIFIABLE=TRUE.

Firefox – Underskrift


 

Net iDs ”Netscape Style Plugin” tillför möjligheten att skapa PKCS#7-baserade signaturer t.ex. baserat på formulärinmatad information. Det hela fungerar utan anmärkning.

Firefox – Problem


 

# Kräver särskild konfiguration i PKI-klienten (Net iD) för att inte lista underskriftscertifikaten även för SSL. Firefox gör bedömningen att certifikat med Key Usage endast satt till non-repudiation är ok att använda för SSL.

# Dialogerna vid inloggning bär spår av fenomenet ”av ingenjörer, för ingenjörer”. Hela dialogen känns överinformativ och att visa certifikatets serienummer i dropdownlistan är fullkomligt förkastligt. Vad är ett ”huvudlösenord”, finns det även “underlösenord”?

# Hanterar i vissa lägen inte multipla certifikat om certificate_label har samma värde för mer än ett certifikat

# Firefox använder sig inte av det i Windows inbyggda lagret för rotcertifikat utan har sitt eget lager. Detta kan göra att trots att maskiner preparerats med rotcertifikat så kan denna varning dyka upp:

ff5_unsecure_full