火狐终于解决了HTTPS网站被杀毒软件破坏的问题

导读经过半年多的问题反复出现,杀毒软件干扰火狐配置和证书存储,才导致HTTPS网站崩溃。Mozilla今天宣布了这个长期紧迫问题的最终解决方案。根

经过半年多的问题反复出现,杀毒软件干扰火狐配置和证书存储,才导致HTTPS网站崩溃。Mozilla今天宣布了这个长期紧迫问题的最终解决方案。

根据Mozilla证书颁发机构项目经理Wayne Thayer的说法,从Firefox 68开始,浏览器将自动启用大约:config首选项,这将降低反病毒软件破坏HTTPS页面的可能性。

首选Security.enterprise_root。“已启用”,从Firefox 68开始,如果检测到“中间人”TLS错误,浏览器将设置为true,这是一个典型的错误,尤其是当防病毒软件尝试(并且失败)拦截HTTPS网站的连接时。

启用此设置后,Firefox将自动导入操作系统中默认根证书之上添加的所有根证书。

这些附加的根证书通常是由其他应用程序(包括防病毒软件)安装的证书。

由于Firefox使用自己的根证书存储来包含不同托管操作系统列表中的一系列“批准证书”,因此防病毒软件需要将其证书添加到Firefox中,这样可以在Firefox中拦截HTTPS的流量,并检查恶意软件或不良网址。

但是,可能会出现安装错误和许多其他问题,这将导致火狐显示典型的HTTPS (TLS) MITM错误页面,如下所示。每次防病毒程序将其根证书添加到Firefox时,都会发生错误。

根据Sayer的说法,去年冬天Firefox 65发布后,Firefox中反病毒产品犯下的错误数量急剧增加。

这些错误如此严重,以至于Mozilla不得不暂停火狐65的推出,以应对安装了AVG和Avast防病毒软件的系统中不断出现的错误。

后来又出现了其他错误,都是其他杀毒软件厂商造成的,但原因是一样的。

Sayer表示,火狐开发者曾经考虑过在这个错误页面上添加一个“修复”按钮,让用户按下后自动启用“企业根”设置,这样就可以自动将OS根存储中的“额外”根证书导入火狐的私有列表中。

Firefox的工程师放弃了按钮的想法,但现在他们选择了自动解决方案。

泰尔说:“从Firefox 68开始,每当检测到MITM错误时,Firefox都会自动打开‘企业根’首选项并重试连接。

如果此问题得到解决,“企业根目录”首选项将保持启用状态(除非用户手动设置“security.enterprise_root”)。已启用“优先于false”)。

我们还建议防病毒软件供应商启用此首选项(通过修改prefs.js),而不是将其根CA添加到Firefox根存储中,这是最佳做法。我们相信这些措施的结合将大大减少火狐用户遇到的问题。

这位Mozilla工程师还淡化了人们的担忧,即自动将操作系统根存储中的根证书导入Firefox不会像一些用户担心的那样对浏览器的安全性构成威胁。

他说:“任何有能力向操作系统添加CA的用户或程序,几乎肯定都有能力将同一CA直接添加到Firefox根存储中。“此外,由于我们只导入操作系统中没有包含的cas,因此Mozilla可以在Firefox支持的、公众默认信任的cas上设置并执行行业最高标准。”

“简而言之,我们所做的更改满足了在不牺牲安全性的情况下让Firefox更容易使用的目标。”

火狐68将于下周发布,微软的普通补丁将于周二发布。

免责声明:本文由用户上传,如有侵权请联系删除!