经过半年多的反复问题,杀毒软件干扰了火狐配置和证书存储,导致HTTPS网站崩溃。Mozilla今天宣布了这个长期紧迫问题的最终解决方案。
根据Mozilla认证机构项目经理Wayne Thayer的说法,从Firefox 68开始,浏览器将自动启用about: config首选项,这将降低反病毒软件破坏HTTPS页面的可能性。
首选Security.enterprise_root。“已启用”,从Firefox 68开始,如果检测到“中间人”TLS错误,浏览器将设置为true,这是一个典型的错误,尤其是当反病毒软件尝试(并且失败)阻止HTTPS网站的连接时。
启用此设置后,Firefox将自动导入操作系统中默认根证书之上添加的所有根证书。
这些额外的根证书通常是由其他应用程序(包括防病毒软件)安装的证书。
由于火狐使用自己的根证书库,在不同托管操作系统的列表中包含一系列“批准证书”,因此反病毒软件需要将其证书添加到火狐中,这可以阻止火狐中的HTTPS流量,并检查恶意软件或不良网站。
但是,可能会出现安装错误和许多其他问题,这将导致火狐显示典型的HTTPS (TLS) MITM错误页面,如下所示。每次防病毒程序将其根证书添加到Firefox时,都会发生错误。
根据Sayer的说法,去年冬天Firefox 65发布后,Firefox中反病毒产品犯下的错误数量急剧增加。
这些错误如此严重,以至于Mozilla不得不暂停火狐65的推出,以应对系统中不断出现的带有AVG和Avast杀毒软件的错误。
后来又出现了其他错误,都是其他杀毒软件厂商造成的,但原因是一样的。
Sayer表示,火狐开发者已经考虑在这个错误页面增加一个“修复”按钮,用户按下后会自动启用“企业根”设置,这样OS根存储中的“额外”根证书就可以自动导入到火狐的私有列表中。
火狐工程师放弃了按钮的想法,但现在他们选择了自动解决方案。
泰尔说:“从火狐68开始,每当检测到MITM错误时,火狐都会自动打开‘企业根’首选项并重试连接。
如果这个问题得到解决,“企业根目录”首选项将保持启用状态(除非用户手动设置“security.enterprise_root”)。启用“优先于假”)。
我们还建议防病毒软件供应商启用此首选项(通过修改prefs.js),而不是将其根CA添加到Firefox根存储中,这是最佳做法。我们相信这些措施的结合将大大减少火狐用户遇到的问题。
这位Mozilla工程师还淡化了人们的担忧,即自动将操作系统根存储中的根证书导入Firefox不会像一些用户担心的那样对浏览器的安全性构成威胁。
他说:“任何能够在操作系统中添加CA的用户或程序,几乎肯定能够将相同的CA直接添加到Firefox根存储中。”此外,由于我们只导入操作系统中没有包含的cas,因此Mozilla可以在Firefox支持的、公众默认信任的cas上设置和实现最高的行业标准。"
“简而言之,我们所做的更改达到了在不牺牲安全性的情况下让Firefox更容易使用的目标。”
火狐68将于下周发布,微软的通用补丁将于周二发布。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!