Como configurar autoridades certificadoras no Firefox

Firefox for Enterprise Firefox for Enterprise Última atualização: 07/24/2023

O modelo "Enterprise" não existe ou não possui uma revisão aprovada.

Caso sua organização use autoridades certificadoras próprias para emitir certificados para seus servidores internos, navegadores como o Firefox podem exibir mensagens de erro, a menos que você os configure para reconhecer esses certificados próprios. Isto deve ser feito com antecedência, para que seus usuários não tenham dificuldade em acessar os sites.

Você pode adicionar certificados dessas autoridades certificadoras usando um dos métodos a seguir.

Usando diretivas para importar certificados de autoridades certificadoras (recomendado)

Desde o Firefox versão 64, uma diretiva corporativa pode ser usada para adicionar certificados de autoridades certificadoras ao Firefox.

  • Definir a chave ImportEnterpriseRoots como true faz com que o Firefox confie em certificados raiz. Recomendamos esta opção para adicionar ao Firefox confiança em uma PKI (public key infrastructure) própria. É o equivalente a configurar a preferência security.enterprise_roots.enabled, conforme descrito na seção abaixo de suporte incorporado em Windows e macOS.
  • Por padrão, a chave Install procura certificados nos locais indicados abaixo. Desde o Firefox 65, você pode especificar um path inteiramente qualificado (veja cert3.der e cert4.pem neste exemplo). Se o Firefox não encontrar nada em seu path inteiramente qualificado, ele procura nos diretórios padrão:
  • Windows
  • %USERPROFILE%\AppData\Local\Mozilla\Certificates
  • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
  • macOS
  • /Library/Application Support/Mozilla/Certificates
  • ~/Library/Application Support/Mozilla/Certificates
  • Linux
  • /usr/lib/mozilla/certificates
  • /usr/lib64/mozilla/certificates

Usando suporte incorporado em Windows e macOS

Definir a preferência security.enterprise_roots.enabled como true na página about:config, ativa o suporte a raiz corporativa em Windows e macOS.

Suporte corporativo em Windows

Desde a versão 49, o Firefox pode ser configurado para automaticamente procurar e importar autoridades certificadoras que tenham sido adicionadas ao repositório de certificados do Windows por um usuário ou administrador.

  1. Digite about:config na barra de endereços e tecle EnterReturn.
    Pode aparecer uma página de alerta. Clique em Aceitar o risco e continuar para ir para a página about:config.
  2. Procure a preferência security.enterprise_roots.enabled.
  3. Clique no botão Fx71aboutconfig-ToggleButton Alternar ao lado desta preferência para alterar seu valor para true.
  4. Reinicie o Firefox.

O Firefox inspeciona no local de registros HKLM\SOFTWARE\Microsoft\SystemCertificates (correspondente ao flag de API CERT_SYSTEM_STORE_LOCAL_MACHINE) as autoridades certificadoras consideradas confiáveis para emitir certificados para autenticação TLS de servidores web. Quaisquer autoridades certificadoras encontradas ali são importadas e consideradas confiáveis pelo Firefox, embora possam não aparecer no gerenciador de certificados do Firefox. A administração dessas autoridades certificadoras deve ser feita usando ferramentas incorporadas ao Windows ou outros utilitários de terceiros.

Firefox versão 52: O Firefox também procura nos locais de registros HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates e HKLM\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates (correspondentes aos flags de API CERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY e CERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE, respectivamente).

Nota: Esta configuração só importa certificados do repositório Windows Trusted Root Certification Authorities, não do repositório correspondente Intermediate Certification Authorities. Consulte bug 1473573. Se você estiver encontrando erros de emissor desconhecido, mesmo após ativar este recurso, experimente configurar seu servidor TLS para incluir os certificados intermediários necessários no handshake TLS.

Suporte corporativo em macOS

Desde o Firefox 63, este recurso também funciona em macOS, importando raízes encontradas no chaveiro do sistema do macOS.

Linux

Usando p11-kit-trust.so em Linux

Certificados podem ser importados através de programação usando p11-kit-trust.so do p11-kit (note que algumas distribuições, como as baseadas em Red Hat, já fazem isso por padrão ao distribuir o p11-kit-trust.so como libnsscbki.so).

Isto pode ser feito configurando a diretiva SecurityDevices em /etc/firefox/policies/policies.json e adicionando um item apontando para o local do p11-kit-trust.so no sistema, adicionando manualmente através do gerenciador de “dispositivos seguros” nas preferências, ou usando o utilitário modutil.

Pré-carregando as bases de dados de certificados (apenas em novos perfis)

Algumas pessoas criam um novo perfil no Firefox, instalam manualmente os certificados que precisam e depois distribuem os vários arquivos db (cert9.db, key4.db e secmod.db) para novos perfis usando este método. Não é uma abordagem recomendada e este método só funciona em novos perfis.

Certutil

Você pode usar o certutil para atualizar as bases de dados de certificados do Firefox a partir da linha de comando. Busque mais informações no site de suporte da Microsoft.

Este artigo foi útil?

Por favor, aguarde...

Essas pessoas ajudaram a escrever este artigo:

Marcelo Ghelman
Illustration of hands

Torne-se um voluntário

Desenvolva e compartilhe sua especialidade com outras pessoas. Responda perguntas e aprimore nossa base de conhecimento.

Saiba mais