La corporation statunitense fa scadere un certificato di sicurezza e quasi tutti i componenti aggiuntivi installati su Firefox passano allo stato di “non supportato”. L’utenza insorge, Mozilla corre ai ripari ma le polemiche bruciano.
Fine settimana a dir poco movimentato per gli utenti di Mozilla Firefox, browser open source che lotta per la sopravvivenza in un mondo dominato da Chrome/Chromium ma che, nel contempo, deve fare i conti con una gestione a dir poco amatoriale dell’infrastruttura responsabile della verifica della sicurezza delle estensioni. Un’infrastruttura che nelle scorse ore è letteralmente deflagrata, scatenando una reazione scomposta – e in parte giustificata – da parte di un’utenza che si è sentita tradita una volta di più.
Tra i nuovi requisiti imposti da Mozilla per gli add-on di Firefox vi è infatti l’obbligo di firmare digitalmente i componenti aggiuntivi, un requisito pensato per “blindare” la sicurezza del codice ma che necessita di un’attenta pianificazione e gestione da parte della fondazione americana.
E invece, allo scoccare della mezzanotte di venerdì, un certificato intermedio è scaduto con effetti a catena sull’intera filiera di verifica delle firme digitali: a quanto pare Mozilla si è dimenticata di rinnovare il certificato, e di conseguenza milioni di installazioni di Firefox hanno rigettato la quasi totalità delle estensioni installate che ora risultavano “non supportate” perché dotate di una firma digitale scaduta.
L’insostenibile inaffidabilità del cloud
Una folla comprensibilmente inferocita si è quindi precipitata su Reddit, sul network Mozilla e sugli altri forum di discussione scoprendo di essere tutti più o meno sulla stessa barca: c’è stato chi ha chiesto aiuto, chi si è lamentato per l’advertising (dopo anni passati in regime di adblocker), chi ha minacciato di abbandonare Firefox, e più in generale chi era alla ricerca di un possibile fix provvisorio prima che Mozilla intervenisse in maniera diretta nella questione.
Nonostante il weekend, infatti, il problema era di una gravità tale da richiedere l’intervento tempestivo della corporation che infatti è arrivato in tempi piuttosto rapidi: Mozilla ha velocemente riconosciuto il fallimento della sua catena di verifica dei certificati, promettendo soluzioni veloci e quindi distribuendo un nuovo certificato valido tramite il sistema degli Studi.
La soluzione tampone di Mozilla ha però contribuito solo ad alimentare le polemiche, visto che una parte di utenza considera gli Studi come una possibile invasione della privacy e li tiene disabilitati tramite le opzioni di Firefox. Un aggiornamento definitivo – e che non necessita della funzionalità Studi – è arrivato con Firefox 66.0.4, nuova point release dell’ultima versione stabile del browser che ripristina la legittimità del certificato incriminato.
Il problema delle estensioni non supportate è stato affrontato e risolto con celerità, nondimeno Mozilla deve fare i conti con polemiche che non si esauriscono e le critiche sulle nuove politiche di sviluppo di Firefox: qualcuno si era lamentato dell’obbligo di firma digitale per gli add-on già anni fa, mentre qualcun altro denuncia l’ingerenza della corporation nel funzionamento di un browser che vorrebbe totalmente gestito in locale e senza alcuna dipendenza dalle inaffidabili (e sempre più pericolose) infrastrutture remote del “cloud”.