Firefox プロファイルからすべての証明機関を削除する

Question 1

Firefox ですべての CA 証明書を削除する方法はありますか?

FirefoxはMozillaのNSSATLS などのセキュリティ関連機能のライブラリ。NSS には独自の組み込み CA ストアがあり、Firefox はこれを使用してデフォルトの CA 証明書を取得します。

事前にロードされた CA 証明書は次のファイルに含まれています。

Windows: libnssckbi.dll

Unix、Linux、その他の *nix 系: libnssckbi.so

Mac OS X: コンテンツ/MacOS/libnssckbi.dynlib

したがって、CA 証明書は Firefox 自体の一部であるため、すべての CA 証明書を削除することはできません。

すべての CA 証明書の信頼をすべて削除することは可能ですか?

からMozilla の FAQ:

Mozilla 製品にデフォルトでルート証明書が含まれている特定の CA を信頼しない場合は、証明書を無効にする方法が 2 つあります。

そのルート証明書の信頼ビットをオフにします。

ルート証明書を削除します。

デフォルトのルートストアにあるルート証明書を削除することは、そのルートのすべての信頼ビットをオフにすることと同じです。したがって、ルート証明書が証明書マネージャーに再度表示されても、そのルート証明書の信頼ビットを変更してすべてをオフにしたかのように扱われます。

重要：この変更は永続的な影響を及ぼし、ルート証明書の信頼ビットはあなただけが再度変更できます。この変更は、Mozilla ソフトウェアの新しいバージョンにアップグレードしても影響を受けません。変更によってブラウジング体験に悪影響が出た場合に信頼ビットを再びオンにできるように、変更したルート証明書を書き留めておくことを強くお勧めします。

したがって、すべての CA 証明書を信頼しないようにするには、次のようにします。

後藤about:preferences#privacy
View Certificates...ページの下部をクリックしてください
タブに切り替えるAuthorities
証明書を選択
クリックDelete or Distrust...
クリックして確認OK
すべての証明書に対して手順4～6を繰り返します。
Firefoxを再起動します

Firefox を再起動すると、すべてのデフォルトの証明書が再表示されます。

Firefox を再起動しても CA 証明書が再表示され続けるのはなぜですか?

デフォルトの証明書は削除できないため、Firefox はそれらの証明書を信頼しないだけであり、他の証明書の検証にそれらの証明書を使用できません。CA 証明書を選択してクリックすると、Edit Trust...信頼しないようにすると何もチェックされないことがわかります。信頼しないように
すると、証明書自体を削除するのと同じ効果がありますが、証明書は証明書マネージャーに引き続き表示されます。

詳細については：信頼設定の変更

Answer

Firefox ですべての CA 証明書を削除する方法はありますか?

FirefoxはMozillaのNSSATLS などのセキュリティ関連機能のライブラリ。NSS には独自の組み込み CA ストアがあり、Firefox はこれを使用してデフォルトの CA 証明書を取得します。

からMozilla の FAQ:

事前にロードされた CA 証明書は次のファイルに含まれています。

Windows: libnssckbi.dll

Unix、Linux、その他の *nix 系: libnssckbi.so

Mac OS X: コンテンツ/MacOS/libnssckbi.dynlib

したがって、CA 証明書は Firefox 自体の一部であるため、すべての CA 証明書を削除することはできません。

すべての CA 証明書の信頼をすべて削除することは可能ですか?

からMozilla の FAQ:

Mozilla 製品にデフォルトでルート証明書が含まれている特定の CA を信頼しない場合は、証明書を無効にする方法が 2 つあります。

そのルート証明書の信頼ビットをオフにします。

ルート証明書を削除します。

デフォルトのルートストアにあるルート証明書を削除することは、そのルートのすべての信頼ビットをオフにすることと同じです。したがって、ルート証明書が証明書マネージャーに再度表示されても、そのルート証明書の信頼ビットを変更してすべてをオフにしたかのように扱われます。

重要：この変更は永続的な影響を及ぼし、ルート証明書の信頼ビットはあなただけが再度変更できます。この変更は、Mozilla ソフトウェアの新しいバージョンにアップグレードしても影響を受けません。変更によってブラウジング体験に悪影響が出た場合に信頼ビットを再びオンにできるように、変更したルート証明書を書き留めておくことを強くお勧めします。

したがって、すべての CA 証明書を信頼しないようにするには、次のようにします。

後藤about:preferences#privacy
View Certificates...ページの下部をクリックしてください
タブに切り替えるAuthorities
証明書を選択
クリックDelete or Distrust...
クリックして確認OK
すべての証明書に対して手順4～6を繰り返します。
Firefoxを再起動します

Firefox を再起動すると、すべてのデフォルトの証明書が再表示されます。

Firefox を再起動しても CA 証明書が再表示され続けるのはなぜですか?

デフォルトの証明書は削除できないため、Firefox はそれらの証明書を信頼しないだけであり、他の証明書の検証にそれらの証明書を使用できません。CA 証明書を選択してクリックすると、Edit Trust...信頼しないようにすると何もチェックされないことがわかります。信頼しないように
すると、証明書自体を削除するのと同じ効果がありますが、証明書は証明書マネージャーに引き続き表示されます。

詳細については：信頼設定の変更

Question 2

Firefox にはコード内にいくつかの CA が組み込まれているようです。

からCA/よくある質問:

これらのプリロードされたルート CA 証明書は、Mozilla および関連ソフトウェアとともに、ソフトウェア実行可能コードの残りとともにユーザーのシステムにインストールされる共有ライブラリの形式で配布されます。したがって、ソフトウェアの新しいバージョンがリリースされたときに更新できます。

事前にロードされた CA 証明書は次のファイルに含まれています。

Windows: libnssckbi.dll

Unix、Linux、その他の *nix 系: libnssckbi.so

Mac OS X: コンテンツ/MacOS/libnssckbi.dynlib

削除しようとしているのがこれらの証明書である場合、答えは「いいえ」です。なぜなら、これらはコードに組み込まれており、どの.dbファイルにも保存されていないからです (そもそも)。これらのファイルをハッキングしようとすることはできますが、成功したとしても、Firefox の新しいリリースごとにハッキングを繰り返す必要があります。

おそらく Windows にのみ実装されていますが、オペレーティングシステムからの証明書によってストアが設定されるようにする別の設定を見つけましたsecurity.enterprise_roots.enabled。

この設定が現在どのように実装されているかについての情報はありませんabout:configが、記事からはまだ進化していることは明らかです。自分のケースで設定されているかどうかをテストすることをお勧めします。

Mozillaの記事より CA:Firefox にルートを追加:

バージョン49以降、Firefoxは、ユーザーまたは管理者によってWindows証明書ストアに追加されたCAを自動的に検索してインポートするように実験的に設定できます。これを行うには、「セキュリティ.エンタープライズルート.有効" に真実このモードでは、Firefox は TLS Web サーバー認証用の証明書を発行する信頼されている CA のHKLM\SOFTWARE\Microsoft\SystemCertificatesレジストリの場所 (API フラグに対応CERT_SYSTEM_STORE_LOCAL_MACHINE) を検査します。このような CA は Firefox にインポートされ、信頼されますが、Firefox の証明書マネージャーには表示されないことに注意してください。これらの CA の管理 (信頼構成など) は、Windows の組み込みツールまたはその他のサードパーティユーティリティを介して行われることが想定されています。また、このような変更を Firefox で有効にするには、設定をオフにしてから再度オンにするか、Firefox を再起動する必要があります。この機能が進化するにつれて、使いやすさを考慮して、これは自動的に処理される可能性があります。

Answer

Firefox にはコード内にいくつかの CA が組み込まれているようです。

からCA/よくある質問:

これらのプリロードされたルート CA 証明書は、Mozilla および関連ソフトウェアとともに、ソフトウェア実行可能コードの残りとともにユーザーのシステムにインストールされる共有ライブラリの形式で配布されます。したがって、ソフトウェアの新しいバージョンがリリースされたときに更新できます。

事前にロードされた CA 証明書は次のファイルに含まれています。

Windows: libnssckbi.dll

Unix、Linux、その他の *nix 系: libnssckbi.so

Mac OS X: コンテンツ/MacOS/libnssckbi.dynlib

削除しようとしているのがこれらの証明書である場合、答えは「いいえ」です。なぜなら、これらはコードに組み込まれており、どの.dbファイルにも保存されていないからです (そもそも)。これらのファイルをハッキングしようとすることはできますが、成功したとしても、Firefox の新しいリリースごとにハッキングを繰り返す必要があります。

おそらく Windows にのみ実装されていますが、オペレーティングシステムからの証明書によってストアが設定されるようにする別の設定を見つけましたsecurity.enterprise_roots.enabled。

この設定が現在どのように実装されているかについての情報はありませんabout:configが、記事からはまだ進化していることは明らかです。自分のケースで設定されているかどうかをテストすることをお勧めします。

Mozillaの記事より CA:Firefox にルートを追加:

バージョン49以降、Firefoxは、ユーザーまたは管理者によってWindows証明書ストアに追加されたCAを自動的に検索してインポートするように実験的に設定できます。これを行うには、「セキュリティ.エンタープライズルート.有効" に真実このモードでは、Firefox は TLS Web サーバー認証用の証明書を発行する信頼されている CA のHKLM\SOFTWARE\Microsoft\SystemCertificatesレジストリの場所 (API フラグに対応CERT_SYSTEM_STORE_LOCAL_MACHINE) を検査します。このような CA は Firefox にインポートされ、信頼されますが、Firefox の証明書マネージャーには表示されないことに注意してください。これらの CA の管理 (信頼構成など) は、Windows の組み込みツールまたはその他のサードパーティユーティリティを介して行われることが想定されています。また、このような変更を Firefox で有効にするには、設定をオフにしてから再度オンにするか、Firefox を再起動する必要があります。この機能が進化するにつれて、使いやすさを考慮して、これは自動的に処理される可能性があります。

Firefox プロファイルからすべての証明機関を削除する

答え1

Firefox ですべての CA 証明書を削除する方法はありますか?

すべての CA 証明書の信頼をすべて削除することは可能ですか?

Firefox を再起動しても CA 証明書が再表示され続けるのはなぜですか?

答え2

関連情報