Firefox最终解决了防火墙应用程序崩溃HTTPS网站的问题

经过六个多月的不断出现问题，反病毒软件干扰Firefox的配置和证书存储只会导致HTTPS网站崩溃，Mozilla今天宣布了这个长期紧迫问题的最终解决方案。

根据Mozilla证书颁发机构项目经理WayneThayer的说法，从Firefox68开始，浏览器将自动启用about：config首选项，这样可以降低防病毒软件崩溃HTTPS页面的可能性。

首选项是“security.enterprise_roots.enabled”，从Firefox68开始，如果检测到“中间人”TLS错误，浏览器将设置为true，这是特定于防病毒软件尝试的典型错误(并且失败)拦截与HTTPS网站的连接。

启用此设置后，Firefox将自动导入已添加到操作系统附带的默认根证书之上的所有根证书。

这些额外的根证书通常是其他应用程序安装的证书，包括防病毒软件。

由于Firefox使用自己的根证书存储区，其中包含与操作系统管理的列表不同的“已批准的证书”列表，因此防病毒软件需要将其证书添加到Firefox以允许拦截在Firefox中执行的HTTPS流量。检查恶意软件或错误的网址。

但是，可能会出现安装错误以及许多其他问题，导致Firefox显示典型的HTTPS(TLS)MITM错误页面，如下所示，只要防病毒软件将其根证书添加到Firefox。

根据Thayer的说法，防火墙产品在Firefox内部产生的错误数量在去年冬天推出Firefox65之后飙升。

错误是如此糟糕，以至于Mozilla不得不停止Firefox65部署以处理安装了AVG和Avast防病毒软件的系统上产生的持续错误。

由其他防病毒供应商引起的其他错误稍后出现，但出于同样的原因。

Thayer说，有时火狐开发人员正在考虑在这个错误页面上添加一个“修复它”按钮，因此用户可以按下它并自动启用“企业根”设置，这样他们就可以自动导入“附加”根证书操作系统根存储到Firefox的私有列表中。

Firefox工程师放弃了按钮的想法，但他们现在选择了自动解决方案。

“从Firefox68开始，每当检测到MITM错误时，Firefox将自动打开'企业根'首选项并重试连接，”Thayer说。

“如果它解决了问题，那么”企业根“首选项将保持启用状态(除非用户手动将'security.enterprise_roots.enabled'首选项设置为false)。”

“我们还建议最佳做法是防病毒供应商启用此首选项(通过修改prefs.js)，而不是将其根CA添加到Firefox根存储。我们相信这些操作相结合将大大减少Firefox用户遇到的问题，“塞耶补充道。

Mozilla工程师还淡化了担心自动将根证书从OS根存储导入Firefox并不会对浏览器的安全性造成危害，因为有些用户可能会担心。

“任何能够将CA添加到操作系统的用户或程序几乎肯定也能够将相同的CA直接添加到Firefox根存储中，”他说。“此外，由于我们只导入操作系统未包含的CA，因此Mozilla保留了我们在Firefox默认支持的公共信任CA上设置和实施行业最高标准的能力。”

“简而言之，我们所做的改变符合使Firefox易于使用而不牺牲安全性的目标。”

Firefox68定于下周发布，在微软正常的Patch周二发布。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！