Mozilla Firefox 3.6.x

Firefox 3.6 släpptes den 21 januari 2010

ff3_upgrade

firefox3616

Firefox – Allmänt


 

Integrationen mellan Firefox och kortet/certifikaten sker via PKCS#11 vilket innebär att det vid installationen av Net iD skapas en koppling mellan Firefox och iidp11.dll (eller iidxsso.dll).

ff3_inst

ff3_inst_sec

Om du installerat Firefox efter att Net iD installerades kommer denna koppling att saknas. Installera då om Net iD eller gå in i Net iD Administration och återupprätta kopplingen genom att:
a) Avmarkera nedanstående ruta – “Verkställ”
b) Markera rutan igen – “Verkställ” – “OK”
c) Kontrollera i Firefox
(Även om checkboxen talar om “plugin-komponenter” så sker kontroll även av PKCS#11-kopplingen)

ff3_inst_sec_mendconnection

Firefox – Inloggning


 

Fungerar men har en del brister:
Brist 1:

Är det verkligen vettigt att skriva ut all denna information rakt i ansiktet på användarna?

firefox1

Brist 2:

I PIN-dialogen uppmanas användaren skriva in “huvudlösenordet”. Eftersom användarna utbildats till att veta att korten har PIN1 (för inloggning), PIN2 (för underskrift) och PUK-kod (för att låsa upp en blockad PIN-kod) så kan det bli lite förvirrat. Tror inte man i USA kallar PIN-kod för “master password” så det rör sig troligen om att inga krav fanns och då beslutade nån stackars utvecklare att det skulle heta just “master password”. Sen kom det in en oinsatt översättare och gjorde en direktöversättning.

firefox2

Brist 3:

Tyvärr sorterar Firefox inte bort certifikat med KeyUsage=non-repudiation. Men detta hanteras genom att vi infört en specialparameter i Net iD som döljer sådana certifikat för Firefox. Se till att just ditt Net iD-paket har denna parameter satt om du använder Firefox tillsammans med kort som har “non-repudiation certifikat”.
Brist 4:

Firefox har en mindre smart lösning för att särskilja certifikaten från varandra. Det innebär att man i vissa fall, då man har flera certifikat på samma kort som råkat få samma label bara kan man bara se ett av dem. Dvs. man får inte ens chansen att välja. Förklaringen till detta hittar vi hos Mozilla. Citat:

What labels does NSS use to identify certificates?

NSS can use the CKA_LABEL attribute to identify user certificates (see previous question) and presents this label to the user. Therefore, each user certificate must have some label associated with it. The label for a token certificate is presented to the user as follows: token label:certificate label. This implies that each token label should be unique and meaningful to the user, and that each certificate label should be unique to the token. NSS gets the value of the CKA_LABEL attribute from the token. Labels should not have any trailing blank characters.

Se artikel om detta på: https://developer.mozilla.org/en/PKCS11_FAQ

Ett i vårt tycke smartare sätt vore att fokusera på det faktiska innehållet i certifikaten och därigenom lyckas presentera något som verkligen är meaningful to the user istället för Firefox tekniska mumbojumbo.
Om vi lägger upp Internet Explorers certifikatvalsdialog bredvid den från Firefox blir det mycket tydligt.

 

ie_ff_select_certificate (1)

SecMaker har en lösning på gång för de som drabbas av detta problem med att viss certifikat inte är valbara i Firefox. Vi kommer i version 5.6 av Net iD att ha en funktion i Net iD Plugin som kan uppdatera “certificate label” för alla certifikat som har CKA_MODIFIABLE=TRUE.

Firefox – Underskrift


 

Net iDs ”Netscape Style Plugin” tillför möjligheten att skapa PKCS#7-baserade signaturer t.ex. baserat på formulärinmatad information. Det hela fungerar utan anmärkning.g.

Firefox – Problem


 

# Kräver särskild konfiguration i PKI-klienten (Net iD) för att inte lista underskriftscertifikaten även för SSL. Firefox gör bedömningen att certifikat med Key Usage endast satt till non-repudiation är ok att använda för SSL.

# Dialogerna vid inloggning bär spår av fenomenet ”av ingenjörer, för ingenjörer”. Hela dialogen känns överinformativ och att visa certifikatets serienummer i dropdownlistan är fullkomligt förkastligt. Vad är ett ”huvudlösenord”, finns det även “underlösenord”?

# Hanterar i vissa lägen inte multipla certifikat om certificate_label har samma värde för mer än ett certifikat