Mozilla 正在进行将 Windows 根证书导入 Firefox 的测试,以防止用户在浏览网页时,与杀毒软件的 SSL 扫描功能发生冲突。
之前用户使用 Firefox 浏览网页时,浏览器使用自己的内置根证书存储来验证网站的 SSL 证书。Firefox 使用的不是 Windows 管理的证书,Mozilla 可以完全控制浏览网站时的可信任证书。
但在 2019 年 2 月 Mozilla Firefox 65 发布后,这个情况发生了转变。有用户反映在浏览网页时收到错误提示,提示的显示内容是 “您的连接不安全” 或 “SEC_ERROR_UNKNOWN_ISSUER”。该错误提示的突然出现,是 Avast、Bitdefender 和 Kaspersky 等杀毒软件为执行 SSL 扫描,在 Firefox 中安装证书的结果。
杀毒软件为了能扫描 SSL 连接,往往将自己的证书安装到 Firefox 和 Windows 的证书库中。而从 Firefox 65 开始存在的这个问题,不仅会导致杀毒软件的证书无法正常使用,还会在网页浏览时显示错误提示。
目前有两个办法可以解决这个问题。一是在杀毒软件中禁用 SSL 扫描,但这种做法会存在安全隐患。另外一个选择是启用 security.enterprise_roots.enabled 标志,让 Firefox 使用 Windows 证书存储来验证 SSL 连接。
根据官方的一个报告,Mozilla 安全团队表示默认情况下使用 Windows 根证书存储,可以避免上文中 提到的错误提示问题。目前 Mozilla 正在测试 security.enterprise_roots.enabled 功能的默认启用,该功能可以让 Firefox 在浏览器启动时导入Windows 根证书。
目前该测试正在推送给 Windows 10 和 Windows 8 的用户,这些用户注册了 Windows Defender 之外的杀毒软件,并且没有启用 security.enterprise_roots.enabled 标志。官方表示如果测试没导致其他问题的出现,后续应该就会让浏览器在默认情况下启用这个功能。
