先前Firefox在瀏覽網頁時,會透過內建的根憑證檢驗網站的SSL憑證,以確保網站的真實身份,並避免釣魚網站危害使用者的安全。但在Firefox 65推出後,則因與防毒軟體提供的憑證衝突,造成網頁無法開啟的狀況,Mozilla表示目前正在測試使用儲存於Windows根憑證,以排除問題。
SSL憑證惹的禍
在電腦資安領域中,憑證的功能在於確認持有人的身分,可以理解為網路上的身份證。信任鏈的起點由根憑證(Root Certificate)開始,由稱為根憑證頒發機構的政府機關或Google 、Let's Encrypt等專職公司自行簽發,然後根憑證頒發機構也能簽發中介憑證,讓其他具有中介憑證的單位能夠繼續簽發終端憑證,如此一來就能形成樹狀的結構,所有中介、終端憑證會因根憑證可被信任,而具有信任基礎。
Firefox在瀏覽網頁的過程中,會透過內建的根憑證檢驗網站的SSL憑證,而不是使用Windows管理的根憑證,這個設計可以讓Firefox完全控制信任的根憑證,有助於確保安全性。
部份包括Avast、Bitdefender、Kaspersky在內的防毒軟體為了掃瞄SSL連線的安全性,會將自家的憑證安裝至Firefox與Windows。但是在Firefox更新至65版之後,則會因為Firefox無法正確使用防毒軟體的憑證,造成網頁無法正常開啟的問題。
▲ 根憑證是信任鏈的基礎,可以用於辨識網路上憑證持有人的身分。(圖片來源:維基百科,本圖採用創用CC姓名標示-相同方式分享,作者為 Yanpas)
▲ Firefox 65版會因無法正確使用防毒軟體的憑證,造成網頁無法正常開啟的問題。(圖片來源:Mozilla)
▲ 使用者可以在Firefox設定中的隱私權與安全性頁面找到檢視憑證。
▲ 點擊檢視憑證就能看到已安裝的憑證。
利用Windows根憑證解決問題
目前有2種方式能夠解決這個問題,第1種是直接關閉防毒軟體的掃瞄SSL連線功能,但是這樣會因為沒有檢查SSL連線是否安全,進而導致增加資安風險的副作用,所以並不建議這樣做。
第2種則是開啟Firefox中的「security.enterprise_roots.enabled」設定,讓Firefox使用儲存於Windows根憑證,詳細的操作方式可以參考下方圖片的流程,進階設定畫面,將「security.enterprise_roots.enabled」的設定值改為True,就能解決問題。
▲ 如過要修正問題,需先在Firefox網址列輸入「about:config」開啟進階設定畫面。
▲ 然後搜尋「security.enterprise_roots.enabled」,並將其設定值改為True。
根據Firefox的錯誤回報網頁記錄, Firefox在66版中開始對Windows 8、Windows 10的使用者推送測試,如果系統的防毒軟體不是Windows Defender的話,就會自動將「security.enterprise_roots.enabled」設為True,在確認不會導致其它問題,並經過更詳盡的測試之後,Firefox應該就會正式導入該功能,避免防毒軟體造成網頁無法開啟的問題。
留言 0