华盟君引言“Firefox终于解决了反病毒应用程序崩溃HTTPS网站的问题,从Firefox 68的发布开始。”
Mozilla宣布将发布Firefox 68版本,以解决导致反病毒应用程序崩溃HTTPs网站的问题。
这些问题始于2018年12月Firefox 65发布之后,专家们发现,由于杀毒软件与浏览器的交互,某种类型的TLS错误显著增加。Mozilla最终在不影响安全性的情况下解决了这些问题。
安全应用程序经常检查HTTPS连接的内容,以检测恶意活动。这可以通过在设备上安装根证书来实现。
与大多数利用操作系统的根存储来确定证书是否受信任的常见web浏览器不同,Firefox维护自己的受信任证书颁发机构列表。需要检查流量的安全解决方案的开发人员必须正确配置Firefox,以避免每次用户通过HTTPS访问网站时浏览器都会发出MitM攻击警告。
这个问题可以通过在Firefox中启用“企业根”首选项来解决,这样就可以强制浏览器导入添加到操作系统中的任何根CAs。
拦截TLS连接历来被称为“中间人”,或MITM。我们开发了一种机制来检测什么时候Firefox错误是由MITM引起的。我们还有一种机制可以经常解决这些问题。Mozilla发布的博客上写道。启用“企业根”首选项后,Firefox将导入用户、管理员或已安装在计算机上的程序添加到操作系统中的任何根ca。此选项在Windows和MacOS上可用。”
启用此设置后,Firefox将自动导入所有根证书,包括杀毒软件安装的证书。
Mozilla最初评估的可能性“修复”按钮添加到MitM错误页面允许用户轻松地使“企业根”选项,但最后,选择添加一个机制,该机制将自动启用的选项和加载页面时MitM显示错误。
除非用户手动禁用该首选项,否则该首选项将保持启用状态。Mozilla敦促反病毒公司启用这个首选项,而不是将它们的根CA添加到浏览器的根存储中。
这一改变将在7月9日发布的Firefox 68中实现。
用户可以通过单击地址栏中的锁图标来确定网站是否使用导入的根CA证书。
Mozilla总结道:“Firefox自动信任未经审计并经过严格Mozilla流程的ca,这可能会引起一些担忧。”然而,任何有能力向操作系统添加CA的用户或程序几乎肯定也有能力将相同的CA直接添加到Firefox根存储中。此外,由于我们只导入OS中没有包含的CAs,所以Mozilla能够在Firefox默认支持的受公众信任的CAs上设置和执行业界最高的标准。简而言之,我们所做的改变达到了让Firefox更容易使用而不牺牲安全性的目标。”
