经过六个多月的不断出现的问题,杀毒软件干扰Firefox的配置和证书存储,只导致HTTPS网站崩溃,Mozilla今天宣布了这个长期紧迫问题的最终解决方案。
根据Mozilla证书权威项目经理Wayne Thayer的说法,从Firefox 68开始,浏览器将自动启用about:config首选项,这将降低杀毒软件破坏HTTPS页面的可能性。
首选是“security.enterprise_root”。“启用”,从Firefox 68开始,如果检测到“中间人”TLS错误,浏览器将设置为true,这是典型的错误,特别是杀毒软件试图(和失败)拦截一个HTTPS网站的连接。
当启用此设置时,Firefox将自动导入在操作系统中包含的默认根证书之上添加的所有根证书。
这些附加的根证书通常是其他应用程序(包括杀毒软件)安装的证书。
因为Firefox使用自己的根证书存储包含一系列“批准证书”从列表中不同管理的操作系统,杀毒软件需要将其证书添加到Firefox可以拦截HTTPS进行交通在Firefox和检查恶意软件或坏的url。
但是,安装错误和许多其他问题都可能发生,这将导致Firefox显示典型的HTTPS (TLS) MITM错误页面,如下所示,每当防病毒程序将其根证书添加到Firefox时出现错误。
据塞耶说,去年冬天Firefox 65发布后,防病毒产品在Firefox内部产生的错误数量激增。
这些错误非常严重,以至于Mozilla不得不暂停Firefox 65的推出,以处理安装了AVG和Avast杀毒软件的系统中不断产生的错误。
后来出现了其他错误,是由其他杀毒软件供应商造成的,但原因是一样的。
塞耶说,Firefox开发人员一度考虑在这个错误页面上添加一个“修复”按钮,这样用户就可以按下它并自动启用“企业根”设置,这样他们就可以自动将“额外的”根证书从OS根存储导入Firefox的私有列表。
Firefox的工程师放弃了按钮的想法,但他们现在选择了自动解决方案。
“从Firefox 68开始,每当检测到MITM错误时,Firefox将自动打开‘企业根’首选项并重试连接,”Thayer说。
如果解决了这个问题,那么“企业根”首选项将保持启用状态(除非用户手动设置“security.enterprise_root”。启用了’ preference to false ‘)。
我们还建议杀毒软件供应商启用这个首选项(通过修改prefs.js),而不是将它们的根CA添加到Firefox根存储中,这是一个最佳实践。我们相信这些措施结合起来将大大减少Firefox用户遇到的问题。
这位Mozilla工程师还淡化了人们的担忧,即自动将操作系统根存储中的根证书导入Firefox并不会像一些用户担心的那样对浏览器的安全构成威胁。
“任何有能力向操作系统添加CA的用户或程序几乎肯定也有能力将相同的CA直接添加到Firefox根存储中,”他说。“另外,因为我们只导入不包含在操作系统中的ca,所以Mozilla可以在Firefox默认支持的受公众信任的ca上设置和执行行业中的最高标准。”
“简而言之,我们所做的改变满足了让Firefox更容易使用而不牺牲安全性的目标。”
火狐68将于下周发布,微软的正常补丁将于周二发布。