Eliminar todas las autoridades certificadoras de un perfil de Firefox

¿Existe alguna forma de eliminar todos los certificados de CA en Firefox?

Firefox usa MozillaNSSbibliotecas para funciones relacionadas con la seguridad como TLS. NSS tiene su propio almacén de CA integrado, que Firefox utiliza para obtener los certificados de CA predeterminados.

DePreguntas frecuentes de Mozilla:

Los certificados de CA precargados se incluyen en los siguientes archivos:

• Windows: libnssckbi.dll
• Unix, Linux y otras variantes de *nix: libnssckbi.so
• Mac OS X: Contenido/MacOS/libnssckbi.dynlib

Por lo tanto, no es posible eliminar todos los certificados de CA, ya que forman parte del propio Firefox.

¿Es posible despojar a todos los certificados de CA de toda confianza?

DePreguntas frecuentes de Mozilla:

Si no confía en una CA concreta cuyo certificado raíz se incluye de forma predeterminada en los productos Mozilla, existen dos formas de desactivar el certificado.

1. Desactive los bits de confianza para ese certificado raíz.
2. Elimine el certificado raíz.
   • Eliminar un certificado raíz que se encuentra en el almacén raíz predeterminado equivale a desactivar todos los bits de confianza para esa raíz. Por lo tanto, aunque el certificado raíz volverá a aparecer en el Administrador de certificados, se tratará como si hubiera cambiado los bits de confianza de ese certificado raíz para desactivarlos todos.

Importante:Este cambio tendrá un efecto permanente, de modo que solo usted podrá volver a cambiar los bits de confianza del certificado raíz. Este cambio no se verá afectado por la actualización a versiones más recientes del software Mozilla. Se recomienda encarecidamente que anote qué certificado raíz modifica, de modo que pueda volver a activar los bits de confianza si el cambio afecta negativamente su experiencia de navegación.

Entonces, para desconfiar de todos los certificados de CA:

1. Ir aabout:preferences#privacy
2. Haga clic en View Certificates...al final de la página
3. Cambiar a la pestañaAuthorities
4. Seleccione un certificado
5. Haga clic enDelete or Distrust...
6. Confirma haciendo clic enOK
7. Repita los pasos 4-6 para cada certificado
8. Reiniciar Firefox

Después de reiniciar Firefox, verá que todos los certificados predeterminados han reaparecido.

¿Por qué los certificados de CA siguen apareciendo después de reiniciar Firefox?

Los certificados predeterminados no se pueden eliminar, por lo que Firefox sólo desconfía de ellos, lo que tiene el efecto de que no se pueden utilizar para verificar otros certificados. Puede seleccionar un certificado de CA y hacer clic Edit Trust...para ver que no se marque nada una vez que desconfíe de él.
Una desconfianza tiene el mismo efecto que eliminar el certificado en sí, excepto que el certificado aún se mostrará en el Administrador de certificados.

Para más información:Cambiar la configuración de confianza

Parece que Firefox tiene algunas CA integradas en el código.

DeCA/Preguntas frecuentes:

Estos certificados de CA raíz precargados se distribuyen con Mozilla y el software relacionado en forma de una biblioteca compartida instalada en los sistemas de los usuarios junto con el resto del código ejecutable del software. Por lo tanto, pueden actualizarse cuando se lanzan nuevas versiones del software.

Los certificados de CA precargados se incluyen en los siguientes archivos:

• Windows: libnssckbi.dll
• Unix, Linux y otras variantes de *nix: libnssckbi.so
• Mac OS X: Contenido/MacOS/libnssckbi.dynlib

Si estos son los certificados que está intentando eliminar, entonces la respuesta es negativa, ya que están integrados en el código y no se almacenan en ningún .dbarchivo (para empezar). Puedes intentar hackear estos archivos, pero incluso si lo logras, tendrás que repetir el hackeo para cada nueva versión de Firefox.

---

Encontré otra configuración que podría ser responsable de que la tienda se llene con certificados provenientes del sistema operativo, aunque quizás solo esté implementada para Windows: security.enterprise_roots.enabled.

No hay información sobre cómo about:configse implementa esta configuración ahora, aunque del artículo se desprende claramente que todavía está evolucionando. Sugiero probar si está configurado en su caso.

Del artículo de Mozilla CA:Agregar raíz a Firefox:

A partir de la versión 49, Firefox se puede configurar experimentalmente para buscar e importar automáticamente CA que un usuario o administrador haya agregado al almacén de certificados de Windows. Para hacerlo, establezca la preferencia "seguridad.enterprise_roots.enabled" averdadero. En este modo, Firefox inspeccionará la HKLM\SOFTWARE\Microsoft\SystemCertificatesubicación del registro (correspondiente al indicador API CERT_SYSTEM_STORE_LOCAL_MACHINE) en busca de CA en las que se confíe para emitir certificados para la autenticación del servidor web TLS. Firefox importará dichas CA y confiará en ellas, aunque tenga en cuenta que es posible que no aparezcan en el administrador de certificados de Firefox. Se espera que la administración de estas CA (por ejemplo, la configuración de confianza) se realice mediante herramientas integradas de Windows u otras utilidades de terceros. Tenga en cuenta también que para que dichos cambios surtan efecto en Firefox, será necesario desactivar y activar nuevamente la preferencia o será necesario reiniciar Firefox. A medida que esta característica evolucione, esto podrá manejarse automáticamente para facilitar su uso.