[Tomorrow]

Ma kasutan ID kaarti mitu korda nädalas ilma probleemideta. Lugeja on pidevalt ühendatud. Midagi erilist ei tee. Kaart lugejasse ja lähen vajalikule lehele. FF ei taaskäivita. Arvutit ei taaskäivita.
Lugeja on vana OmniKey 1021. Väga levinud mudel meil. Kaart on eelmise aasta oma.
Win11 ja FF on uusimad stabiilsed versioonid. ID tarkvara on 24.12.

Kui ma loen neist probleemidest, siis paneb pead kratsima, et mida seal valesti tehakse.
Midagi on nendel kasutajatel valesti kas draiverite või FF profiiliga.

[napoleon]

Browseriga vist. Kolisin ammu opera peale kui viimast korda FF peale vihastasin.

[Tomorrow]

Spoiler

Firefox 144.0 Lõppversioon nüüd saadaval!
https://www.mozilla.org/en-US/firefox/all/desktop-release/
https://www.mozilla.org/en-US/firefox/all/desktop-esr/
Allalaadimislingid:
Ingliskeelne - Windows
Ingliskeelne 64bit - Windows
Ingliskeelne - Mac
Ingliskeelne - Linux
Ingliskeelne 64bit - Linux

Eestikeelne - Windows
Eestikeelne 64bit - Windows
Eestikeelne - Mac
Eestikeelne - Linux
Eestikeelne 64bit - Linux

Ingliskeelne ESR - Windows
Ingliskeelne ESR 64bit - Windows
Ingliskeelne ESR - Mac
Ingliskeelne ESR - Linux
Ingliskeelne ESR 64bit - Linux

Eestikeelne ESR - Windows
Eestikeelne ESR 64bit - Windows
Eestikeelne ESR - Mac
Eestikeelne ESR - Linux
Eestikeelne ESR 64bit - Linux

Ingliskeelne - 64bit Windows MSI
Ingliskeelne - Windows MSI
Eestikeelne - 64bit Windows MSI
Eestikeelne - Windows MSI
https://www.mozilla.org/en-US/firefox/144.0/releasenotes/
https://www.ghacks.net/2025/10/14/firefox-144-0-is-out-with-new-profile-management-tab-group-improvements-and-security-fixes/
https://support.mozilla.org/en-US/kb/firefox-enterprise-144-release-notes
https://developer.mozilla.org/en-US/Firefox/Releases/144

Peamised uuendused ja muudatused:
* Profiilihaldur on saanud suure uuenduse, mis järgmise paari nädala jooksul järk-järgult kasutajatele kättesaadavaks tehakse. Oma profiilidele saab nüüd unikaalsed nimed panna ja neid hõlpsalt äratuntavate avataride ja värviteemadega kohandada ning seejärel nende vahel kiiresti vahetada, hoides samal ajal järjehoidjad, vahekaardid ja sirvimisajaloo täiesti eraldi. Uus profiilihaldur on saadaval Windows 11, Mac ja Linuxi kasutajatele ning Windows 10 tugi tuleb samuti. Vanad profiili seadistused nagu about:profile ja käivitamine -p argumendiga, et jooksutada kahte profiili samaaegselt töötavad edasi. Täpsemalt siin: https://support.mozilla.org/en-US/kb/profile-management
* Nüüd saab pilt-pildis akna sulgeda videot peatamata. Shift + Click sulgemisnupul või Shift + Esc taasesituse ajal väljumiseks.
* Firefoxi paroolihalduris krüpteeritakse andmed nüüd moodsa krüpteerimisskeemi (AES-256-CBC) abil, mis asendab vanemat 3DES-CBC-d. Firefoxi sünkroonimise kaudu (Sync) sünkroonitud andmed jäävad otsast lõpuni krüpteerituks ja juba kasutavad AES-256-GCM.
* Vahekaartide gruppide (Tab Groups) muudatused: Vahekaartide rühma aktiivne vahekaart jääb nähtavaks ka rühma kokkuvoltimisel ja nüüd saab kokkuvolditud rühmale lohistada teise vahekaardi ilma, et see automaatselt laieneks.
* Lisatud valik paremklikk menüüsse: „Otsi pilti Google Lensiga". See on ainult lauaarvutitele mõeldud funktsioon, mis on saadaval, kui vaikeotsingumootoriks on seatud Google ja kasutaja klikib pildile.
* Lauaarvuti versioonis on Firefoxil nüüd kaasas otsingumootor Perplexity. Kasutaja saab selle eemaldada, või vaikemootoriks seada about:preferences#search alt.
* Windowsis kasutab Firefox lingi avamisel teisest rakendusest ainult aktiivse virtuaalse töölaua akent, või avab vajadusel uue akna.
* Eesti keele tõlkekvaliteeti on tõstetud.
* Turvaparandused.

Firefox 145.0 Lõppversioon nüüd saadaval!
https://www.mozilla.org/en-US/firefox/all/desktop-release/
https://www.mozilla.org/en-US/firefox/all/desktop-esr/
Allalaadimislingid:

Spoiler

Ingliskeelne - Windows
Ingliskeelne 64bit - Windows
Ingliskeelne - Mac
Ingliskeelne - Linux
Ingliskeelne 64bit - Linux

Eestikeelne - Windows
Eestikeelne 64bit - Windows
Eestikeelne - Mac
Eestikeelne - Linux
Eestikeelne 64bit - Linux

Ingliskeelne ESR - Windows
Ingliskeelne ESR 64bit - Windows
Ingliskeelne ESR - Mac
Ingliskeelne ESR - Linux
Ingliskeelne ESR 64bit - Linux

Eestikeelne ESR - Windows
Eestikeelne ESR 64bit - Windows
Eestikeelne ESR - Mac
Eestikeelne ESR - Linux
Eestikeelne ESR 64bit - Linux

Ingliskeelne - 64bit Windows MSI
Ingliskeelne - Windows MSI
Eestikeelne - 64bit Windows MSI
Eestikeelne - Windows MSI

https://www.mozilla.org/en-US/firefox/145.0/releasenotes/
https://www.ghacks.net/2025/11/11/firefox-145-release-information
https://support.mozilla.org/en-US/kb/firefox-enterprise-145-release-notes
https://developer.mozilla.org/en-US/Firefox/Releases/145

Peamised uuendused ja muudatused:
* Uute seadmete jaoks kuhu sünkroonitakse andmed läbi OneDrive on olemasolev töölaua otsetee Firefoxi käivitamiseks asendatud töölaua käivitajaga – väikese programmiga, mis käivitab Firefoxi, kui see on installitud, kuid kui see pole installitud, palub see kasutajal Firefoxi installida. See pakub lihtsat installi Firefoxi kasutajatele, kes omandavad uue Windowsi seadme, kus Firefox pole vaikimisi ei installitud ja kasutavad OneDrive, et sünkroonida andmed vanast seadmest uude.
Pikemalt siin: https://support.mozilla.org/en-US/kb/firefox-desktop-launcher
Info selles osas on hetkel vastukäiv. Mina loen dokumentatsiooni välja, et see puudutab ainult OneDrive sünkroniseerimist, aga väljastusinfo väidab, et kõigi Windowsi kasutajate otseteed muudetakse ära lihtsast otseteest (.lnk) mini-programmiks (.exe?).
* Kursorit vahekaartide rühma nime kohal hoides saab nüüd näha eelvaadet rühma sees olevatest vahekaartidest ilma seda rühma avamata.
* Horisontaalsed vahekaardid on nüüd veidi ümaramad, et need vastaksid vertikaalsete vahekaartide välimusele. Nuppe ja tekstisisestusalasid, sh aadressiriba, on samuti järjepidevuse huvides uuendatud.
* Uue sättega „Ava rakenduste lingid aktiivse vahekaardi kõrval“ saab nüüd avada teiste rakenduste linke aktiivse vahekaardi kõrval, mitte vahekaartide rea lõpus.
* Firefox ei toeta enam 32-bitiseid Linuxi süsteeme. Soovitatav on jätkuvate värskenduste ja toe saamiseks installida 64-bitine versioon või kasutada ESR 140.5 mis kuni järgmise aasta suveni veel toetab 32-bitiseid Linuxi versioone.
* Lisatud lingi kopeerimine mis lubab kasutajatel jagada lehe suvalisi osi teistega. Kõigepealt valides lehel oleva teksti hiire või klaviatuuriga ja siis kontekstimenüüst vastava valikuga (Copy Link to Highlight). See peaks toimima brauserist sõltumatult ehk siis teised ajakohased brauserid toetavad seda funktsiooni. Pikemalt siin: https://developer.mozilla.org/en-US/docs/Web/URI/Reference/Fragment/Text_fragments#:~:text=link%20directly%20to%20specific%20text%20in%20a%20web%20page
* Nüüd saab oma salvestatud paroolidele juurde pääseda ja neid hallata otse külgribalt. Pole vaja uut vahelehte ega akent avada. Saab püsida lehel, kus olete ja pääseda oma sisselogimisandmetele kiiremini ligi.
* Lisatud võimalus lisada, muuta ja kustutada kommentaare PDF failides. Kommentaaride külgriba aitab kõiki kommentaare sirvida ja neile kiiresti hüpata, mis on mugav pikkade või suure hulga kommentaaridega PDF-failide puhul.
* Tugevdatud sõrmejälje (fingerprinting) vastast kaitset. Uued kaitsemeetmed vähendavad nähtavate unikaalsete kasutajate osakaalu peaaegu poole võrra, tagades turvalisema ja privaatsema sirvimiskogemuse privaatse sirvimise või täiustatud jälgimiskaitse (ETP) ranges režiimis.
* Ümbersuunamisel põhinevat jälgimist blokeeriv säte on nüüd ETP ranges režiimis vaikimisi lubatud.
* Tõlgete funktsiooni kogemus on täiustatud erinevate kirjasuundadega keelte vahel tõlkimisel.
* Kohalikud tõlkemudelid on nüüd uue standardiga ( https://en.wikipedia.org/wiki/Zstd ) tihendatud, mis vähendab allalaadimismahtu ja vähendab salvestusruumi vajadust. Firefoxi tõlked toimuvad jätkuvalt privaatselt kohalikus seadmes, erinevalt teistest brauseritest, mis tõlgivad pilveteenuste abil.
* Kui laiendusi pole installitud, kuvatakse nüüd nupul „Laiendused“ klõpsamisel teade, mis tõstab esile, kuidas laiendused saavad sirvimist täiustada, koos linkidega Firefoxi lisandmoodulite poodi.
* Matroska konteiner (.mkv) on nüüd toetatud kõige sagedamini kasutatavate koodekite puhul: AVC, HEVC, VP8, VP9, AV1, AAC, Opus ja Vorbis.
* Turvaparandused.

[Dogbert]

On keegi uue ID-kaardi tarkvaraga proovinud:

ID-tarkvara versioon: 25.10, DigiDoc4 versioon: 4.9.0, avalikustatud 10.11.2025

https://www.id.ee/artikkel/paigalda-id-tarkvara/

__________________

Pekki

[Zuumbox]

Jep. Sama seis nagu ennegi. Kui kannatust on, siis kannatab siiski kasutada (Swedi puhul vähemalt; mujale pole proovinud) nagu ma kuskil eespool siin juba kirjeldasin.

[Dogbert]

[Tomorrow]

Firefox 146.0 Lõppversioon nüüd saadaval!
https://www.mozilla.org/en-US/firefox/all/desktop-release/
https://www.mozilla.org/en-US/firefox/all/desktop-esr/
Allalaadimislingid:

Spoiler

Ingliskeelne - Windows
Ingliskeelne 64bit - Windows
Ingliskeelne - Mac
Ingliskeelne - Linux
Ingliskeelne 64bit - Linux

Eestikeelne - Windows
Eestikeelne 64bit - Windows
Eestikeelne - Mac
Eestikeelne - Linux
Eestikeelne 64bit - Linux

Ingliskeelne ESR - Windows
Ingliskeelne ESR 64bit - Windows
Ingliskeelne ESR - Mac
Ingliskeelne ESR - Linux
Ingliskeelne ESR 64bit - Linux

Eestikeelne ESR - Windows
Eestikeelne ESR 64bit - Windows
Eestikeelne ESR - Mac
Eestikeelne ESR - Linux
Eestikeelne ESR 64bit - Linux

Ingliskeelne - 64bit Windows MSI
Ingliskeelne - Windows MSI
Eestikeelne - 64bit Windows MSI
Eestikeelne - Windows MSI

https://www.mozilla.org/en-US/firefox/146.0/releasenotes/
https://www.ghacks.net/2025/12/09/firefox-146-lets-windows-10-users-backup-their-data-brings-fractional-scaled-displays-on-wayland/
https://support.mozilla.org/en-US/kb/firefox-enterprise-146-release-notes
https://developer.mozilla.org/en-US/Firefox/Releases/146

Peamised uuendused ja muudatused:
* Firefoxi laborid (Labs) on nüüd saadaval kõigile kasutajatele olenemata sellest, kas nad osalevad uuringutes või edastavad telemeetriat.
* Parandatud probleem, mis takistas Windowsi kasutajatel vahekaarti valimast, kui kursor oli ekraani ülaosas ja Firefox oli teatud tüüpi monitoridel maksimeeritud.
* Eemaldatud Direct2D tugi Windowsis. Kes vajavad veel Direct2D tuge peaksid kasutama ESR 140.0 või uuemat.
* Skia graafikateeki (Direct2D asendus) on värskendatud, et parandada renderdusjõudlust ja ühilduvust.
* Aadressiriba otsingus on paar täiustust. Nüüd saab tulemuste lehe vahele jätta ja tulemusi päringu sisestamise ajal otse aadressiribal näha.
* Seadetes on veebilehe värvide valikus nüüd selgemad juhtnupud ja värvinäidis iga sätte kõrval.
* * Windows 10 kasutajad saavad oma andmed brauseri seadetest varundada, et salvestada paroole, järjehoidjaid, sirvimisandmeid jne. See funktsioon nõuab kasutajalt Firefoxi sünkroonimise (Sync) sisselogimist, sest see on pilvepõhine funktsioon. Varukoopia saab ka krüpteerida ja parooliga kaitsta. Varundamine on hetkel saadaval ainult Windows 10 peal, aga peaks peagi saadaval olema ka teistes operatsioonisüsteemides.
* Turvaparandused.

[Dogbert]

Ja OS Client Cert Module abil ID-kaardi sertide laadimine on endiselt pekkis. OpenSC kaudu töötab.

[Tomorrow]

Dogbert, Jep nii on. Tegin sinu juhendi järgi OpenSC meetodil ja nüüd saan kasutada samaaegselt uusimat 25.10 ID Kaardi tarkvara ja uusimat 146 Firefoxi versiooni.
Muidugi pidin OpenSC lisaks paigaldama. Testisin swedbankis, tallinn.ee, e-perearstikeskus jne. Paistab, et toimib kõikjal.

Muidugi kuna swedbank kasutab TLS-CCA, mitte Web-eID siis PIN dialoog on teistsugune, aga vähemalt toimib esimese korraga.

[masmre]

Väärt õpetus, tegin ka ja kõik toimib. Ei tea, miks nad kohe ei saa asju toimima?

[Tomorrow]

Küsisin AI käest selle kohta, et miks see probleem üldse eksisteerib. Ma ei tea muidugi kui tõene see vastus on, et see on kõik Firefoxi süü, sest mingil moel suudavad Chrome põhised brauserid kõik toimimas hoida.
Kusjuures kummaline oli see, et 25.10 ID-Kaardi tarkvara paigaldamisel Firefox isegi tuvastas hetkeks PKCS #11 asukoha, aga siis unustas ära ja ma ei näe, et 25.10 oleks seda üldse paigaldanud, sest ei System32 ega mujal ei paista seda eksisteerivat.
Kas OpenSC paigaldamine ei peaks olema mitte Firefoxi, vaid ID-Kaardi tarkvara ülesanne?

Spoiler

tsitaat:

Short answer: **yes, it’s primarily a licensing + responsibility issue**, plus Mozilla deliberately refusing to ship third-party middleware. And Firefox v140 just exposed how fragile the whole setup already was. Here’s the blunt breakdown. --- ## Why Firefox does NOT bundle OpenSC / onepin-opensc-pkcs11.dll ### 1. **Licensing is incompatible with Mozilla’s distribution model** OpenSC is **LGPL 2.1+**. That *sounds* permissive, but: * Bundling a DLL inside Firefox would make Mozilla responsible for **license compliance**, updates, notices, and redistribution terms. * Mozilla would have to ship **source, relinking mechanisms, and license texts** correctly on *all* platforms. * Mozilla avoids LGPL binaries unless they fully control the code (they don’t with OpenSC). Mozilla policy is simple: > **“We ship what we maintain. Everything else is the OS / vendor’s job.”** --- ### 2. **PKCS#11 middleware is intentionally external** Firefox expects: * Smart card middleware * Crypto tokens * National eID stacks to be installed **by the OS or the card issuer**, not by the browser. Mozilla does **not** want: * Country-specific crypto stacks * Per-nation liability * Breakage blame Shipping OpenSC would instantly make Firefox: * “The Estonian ID card browser” * “The Belgian eID browser” * “The Italian CNS browser” That’s a support and legal nightmare. --- ### 3. **Firefox stopped auto-trusting random PKCS#11 stacks years ago** Firefox used to be lax. That ended. Modern Firefox: * Sandboxes crypto more aggressively * Treats PKCS#11 modules as **explicit user responsibility** * Will not silently load or update them This is intentional hardening. --- ## Why “OS Cert Module” does NOT work for Estonian ID cards Because **Windows’ native certificate store is NOT a full smart-card stack**. What Windows provides: * Certificates * Some CSP / KSP abstraction What it does **not** provide: * PIN pad handling * Card state management * One-PIN flow * Proper PKCS#11 semantics Firefox expects Firefox uses **NSS**, *not* Windows CryptoAPI for smart cards. So: > OS Cert Module ≠ Smart card middleware That’s why: * Edge works * Chrome works * Firefox does not Firefox is the odd one out **by design**. --- ## What broke in Firefox v140 + ID-Card 25.6 Two things collided: ### 1. **Firefox v140 tightened NSS / PKCS#11 validation** * Stricter module loading * Stricter symbol resolution * More aggressive sandbox boundaries Anything even slightly out-of-spec gets rejected or half-loaded. ### 2. **ID-Card 25.6 changed OpenSC build/layout** Common breakages observed: * DLL path changes * Runtime dependency mismatch (MSVC runtime, OpenSSL) * onepin module no longer exporting exactly what Firefox expects * Silent failures (Firefox gives you zero diagnostics unless you enable NSS logging) This isn’t Firefox “breaking Estonia” on purpose — it’s Mozilla refusing to support brittle third-party crypto blobs. --- ## Why Mozilla will NOT fix this for you Because from their perspective: * OpenSC is **external middleware** * Estonian ID software is **vendor-maintained** * Firefox is working *as specified* Mozilla has repeatedly stated: > National eID compatibility must be solved by the eID stack, not the browser. And they’re not changing that stance. --- ## What actually works (today) ### ✅ Correct way (even if annoying) * Install OpenSC via ID-Card software * Manually add PKCS#11 module: ``` onepin-opensc-pkcs11.dll ``` * Ensure **matching architecture** (64-bit Firefox ↔ 64-bit OpenSC) ### ✅ Debug properly Set: ``` set NSS_DEBUG=pkcs11 set NSS_DEBUG_FILE=%TEMP%\nss.log ``` Start Firefox from the same shell and inspect why the module fails. ### ❌ What will NOT happen * Firefox bundling OpenSC * Firefox auto-detecting national eID stacks * Mozilla special-casing Estonia (or any country) --- ## Bottom line * **Not a bug, not an accident** * **Licensing + policy + liability** * Firefox is intentionally hands-off with smart cards * v140 just made the cracks visible If Estonia wants “just works” Firefox support, it has to: * Ship a **Firefox-tested PKCS#11 module** * Track Firefox releases proactively * Stop relying on undefined behavior That’s the real problem — not Firefox.

Spoiler

tsitaat:

Blunt answer: **RIA absolutely *could* package this properly — they just choose not to**. And Chromium doesn’t “bypass” anything; it uses a completely different crypto path that avoids the whole mess. Let’s break it down cleanly. --- ## 1. Why RIA does **not** bundle a Firefox-ready PKCS#11 stack ### They technically already ship OpenSC — just **not as a browser-grade module** The Estonian ID-Card software **does include OpenSC**, but: * It’s treated as **system middleware**, not as a browser integration target * No Firefox-specific testing pipeline exists * No guarantees about NSS compatibility per Firefox release * No stable, documented DLL path contract From RIA’s point of view: > “If Windows can see the card, our job is done.” Firefox disagrees. --- ### Why RIA won’t fix it properly #### 1. **Support cost explosion** If RIA officially supported Firefox PKCS#11: * Every Firefox ESR + Rapid release becomes RIA’s problem * NSS changes become their regression surface * Every broken update becomes a national incident That’s not exaggeration — this has happened before. --- #### 2. **They rely on Windows Crypto instead** RIA’s architecture assumes: * CAPI / KSP is the main path * Browsers should talk to Windows, not to OpenSC directly That works for: * Edge ✅ * Chrome ✅ * Electron apps ✅ Firefox is the exception — again, by design. --- #### 3. **LGPL is still annoying for governments** Even if it’s allowed: * Legal review * Redistribution notices * Audit requirements * Political oversight Government bodies are **risk-averse**, not pragmatic. --- #### 4. **System32 is radioactive** Placing: ``` onepin-opensc-pkcs11.dll ``` into `System32` would: * Break WoW64 expectations * Risk DLL hijacking * Violate Microsoft packaging guidelines * Trigger AV false positives RIA will not touch that. --- ## 2. Why Chromium browsers “just work” ### Critical point: > **Chromium does NOT use PKCS#11 on Windows.** At all. --- ### Chromium’s crypto path on Windows ``` Browser → Windows CryptoAPI / CNG → Smart Card CSP / KSP → Card ``` No OpenSC DLLs. No PKCS#11. No NSS. That’s the entire difference. --- ### What this means in practice * Chromium never loads `onepin-opensc-pkcs11.dll` * Chromium never cares about OpenSC ABI changes * Chromium never sees Firefox’s breakage As long as: * The Estonian ID Card installs a CSP/KSP correctly → Chromium is happy. --- ### Firefox refuses this path Mozilla explicitly rejected: * CAPI / CNG binding * OS-managed crypto on Windows * CSP plugins Why? * Portability (same stack everywhere) * Auditability * Less OS-level trust Principled? Yes. Practical? For national eID — no. --- ## 3. Would bundling a DLL “fix it”? ### Yes — **but only if RIA commits to it** To truly fix Firefox support, RIA would have to: * Ship a **Firefox-tested PKCS#11 module** * Lock its ABI * Publish a stable path * Regression test against every Firefox release * Provide user-visible diagnostics They don’t want that responsibility. --- ## 4. Why this keeps breaking **specifically in Firefox** Because Firefox is: * The only major browser using **NSS** * The only one still expecting **PKCS#11** * The only one not leaning on Windows crypto So it’s always first to break. --- ## 5. The uncomfortable truth Firefox support for Estonian ID cards is effectively: * **Best-effort** * **Community-maintained** * **Non-contractual** Everyone involved knows this. Nobody wants to say it out loud. --- ## Bottom line * RIA *could* ship a proper PKCS#11 module * They *won’t*, because it makes Firefox **their problem** * Chromium works because it never touches PKCS#11 * Firefox breaks because it insists on it That’s not going to change unless **RIA explicitly decides Firefox matters again**.