wiki/src/blueprint/web_browser_profile_with_no_CA.mdwn

   1 **Corresponding ticket**: [[!tails_ticket 5766]].
   2
   3 Tails should ship a (non-default) web browser profile that would not
   4 trust the CA cartel, but instead use some alternative, more agile and
   5 stronger trust system.
   6
   7 [[!toc levels=2]]
   8
   9 Candidates
  10 ==========
  11
  12 * Monkeysphere: [[!tails_ticket 5763]]
  13 * Convergence: [[!tails_ticket 6102]]
  14 * TACK
  15 * EFF's sovereign keys
  16 * Google's proposal
  17
  18 Criteria
  19 ========
  20
  21 * beware of the browser fingerprint
  22
  23 Implementation
  24 ==============
  25
  26 Iceweasel profile
  27 -----------------
  28
  29 We should now provide a second iceweasel profile with all root CAs
  30 disabled.
  31
  32 One way to do it would be to `dpkg-divert libnssckbi.so` by default,
  33 extract all the CAs from the original `libnssckbi.so` and stuff them
  34 into the "normal X.509 usage" profile's DB.
  35
  36 See also the `mozilla/security/nss/lib/ckfw/builtins/README` file in
  37 the `nss` package source tree ([read
  38 online](https://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/README))
  39 to learn how to build a `libnssckbi.so` with a custom list of
  40 builtin CAs.
  41
  42 According to [a blog
  43 post](http://blog.rupamsunyata.org/2008/06/30/consolation-prize.xhtml),
  44 `certutil` may be an adequate tool for the task:
  45
  46         apt-get install libnss3-tools
  47         certutil -d $HOME/.mozilla/firefox/$HLAGHLLAGHGAAHLGALHHGHLAGH.default -A -n 'CA Cert Signing Authority - Root CA' -t CT,C,C -i /etc/ssl/certs/root.pem
  48
  49 What does not work is to disable this module for the no-CAs profile
  50 using:
  51
  52     modutil -dbdir PROFILE_DIR -disable "NSS Internal PKCS #11 Module"
  53
  54 The Freepto folks are working on wrappers around `certutil`:
  55
  56 * <http://lists.autistici.org/message/20141013.235706.2496a2bc.en.html>
  57 * <https://github.com/boyska/freepto-lb/blob/certificates_iceweasel/config/hooks/certificates.chroot>
  58 * <https://github.com/vinc3nt/freepto-lb/blob/master/tools/certmanage.sh>
  59
  60 It's also possible to use the [cert_override.txt
  61 mechanism](https://developer.mozilla.org/en-US/docs/Cert_override.txt)
  62 to add certificate exceptions.
  63
  64 Adding a CA can [be done with an
  65 add-on](https://github.com/moba/cacert-firefox-addon).
  66 Presumably removing or distrusting one can too.