Ubunlog David Naranjo  

Los complementos de Firefox están deshabilitados debido a la caducidad del certificado de Mozilla

Hace poco realizo Mozilla un comunicado en el cual advirtió de problemas masivos con los complementos para Firefox. Pues en cuestión de horas muchos usuarios comenzaron a percibir que los complementos del navegador fueron bloqueados.

Esto es debido a como lo explica Mozilla en su comunicado a la expiración del certificado utilizado para generar firmas digitales. Además, se señala la imposibilidad de instalar nuevos complementos del catálogo oficial de AMO (addons.mozilla.org).

Ante el gran problema que surgió, los desarrolladores de Mozilla comenzaron a trabajar considerando las posibles soluciones y hasta ahora se han limitado a la confirmación general de la situación.

Solo se menciona que los complementos se volvieron inactivos después del inicio de las 0 horas (UTC) del 4 de mayo. El certificado debería haberse actualizado hace una semana, pero por alguna razón esto no sucedió y este hecho pasó desapercibido.

Ahora, unos minutos después del inicio del navegador, se muestra una advertencia sobre la desactivación de complementos debido a problemas de firma digital y los complementos desaparecen de la lista.

Las firmas digitales se verifican una vez al día o después de que se inicie el navegador, por lo que los complementos no se pueden desactivar inmediatamente en las instancias de larga duración de Firefox.

¿Por que se necesita un certificado de Mozilla?

Todo este problema, surgió debido a que la verificación obligatoria de los complementos de Firefox mediante firmas digitales se introdujo en abril de 2016.

Según Mozilla, una comprobación de firma digital le permite bloquear la distribución de complementos maliciosos y de software espía.

Algunos desarrolladores de complementos no están de acuerdo con esta posición y creen que el mecanismo obligatorio de verificación de firma digital solo crea dificultades para los desarrolladores y lleva a un aumento en el tiempo de comunicación de las versiones correctivas a los usuarios sin afectar la seguridad.

Hay muchas técnicas triviales y obvias para omitir el sistema de verificación automatizada de complementos que le permiten insertar sin problemas a una persona mal intencionada introducir un código malicioso, por ejemplo, al realizar una operación sobre la marcha al conectar varias líneas y luego ejecutar la línea resultante llamando a eval.

Aun que la posición de Mozilla se reduce al hecho de que la mayoría de los autores de complementos maliciosos son perezosos y no recurrirán a técnicas similares para ocultar la actividad maliciosa.

¿Posibles soluciones?

Como solución alternativa para renovar el acceso a los complementos para usuarios de Linux, estos pueden desactivar la verificación de firma digital configurando la variable “xpinstall.signatures.required” en about: config a “false“.

Este método para versiones estables y beta solo funciona en Linux y Android, para Windows y macOS, tal manipulación es posible solo en versiones de firefox nightly y en la versión para desarrolladores (Developer Edition).

Alternativamente, también se puede cambiar el valor del reloj del sistema por un tiempo antes de que caduque el certificado, luego se devolverá la opción de instalar complementos del catálogo AMO, pero la etiqueta de desconexión ya establecida no se eliminará.

Informes sobre el seguimiento de los informes de Mozilla

Durante el lapso del tiempo en el que se genero el problema, los desarrolladores de Mozilla anunciaron el inicio de una de las tantas pruebas, en el cual podría ser una posible solución que, si se verifica con éxito, pronto se comunicará a los usuarios (aún no se ha tomado la decisión de aplicar la solución propuesta).

La generación de firma digital para los nuevos complementos se desactiva hasta que se aplica la corrección.


A las 13:50 (MSK), comenzó la distribución de la solución, en el lado del usuario que devuelve los complementos deshabilitados. La solución se descargará automáticamente a través del sistema de entrega de actualizaciones y se aplicará en unas pocas horas.


Para acelerar la entrega del parche, también está diseñado como una “investigación” llevada a cabo entre los usuarios para activar esto, el usuario tiene que dirigirse a la sección “Preferencias de Firefox -> Privacidad y seguridad -> Permitir que Firefox instale y ejecute estudios” ( “Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies”).

El artículo Los complementos de Firefox están deshabilitados debido a la caducidad del certificado de Mozilla ha sido originalmente publicado en Ubunlog.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.