Mozilla正在测试将Windows根证书导入Firefox,以防止用户在浏览网页时与杀毒软件的SSL扫描功能发生冲突。
此前,用户使用Firefox浏览网页时,浏览器使用自己内置的根证书库来验证网站的SSL证书。Firefox不使用由Windows管理的证书。
浏览网站时,Mozilla完全控制可信证书。
但在2019年2月Mozilla Firefox 65发布后,这种情况发生了改变。一些用户反映,他们在浏览网页时收到了错误提示。
提示的显示内容为“您的连接不安全”或“SEC_ERROR_UNKNOWN_ISSUER”。这个错误提示的突然出现,
是Avast、Bitdefender、卡巴斯基等杀毒软件在Firefox中安装证书进行SSL扫描的结果。
为了扫描SSL连接,反病毒软件通常会将自己的证书安装到Firefox和Windows的证书库中。从Firefox 65开始就存在的问题不仅会导致杀毒软件的证书不能正常使用,
浏览网页时也会显示错误提示。
目前有两种方法可以解决这个问题。一种是在杀毒软件中禁用SSL扫描,但这种做法会有安全隐患。另一个选项是启用security . enterprise _ root . enabled标志。
让Firefox使用Windows证书存储来验证SSL连接。
据官方报道,Mozilla安全团队表示,默认使用Windows根证书库,可以避免上面提到的错误提示问题。
Mozilla目前正在测试security . enterprise _ roots . enabled函数的默认启用,该函数允许Firefox在浏览器启动时导入Windows根证书。
目前,该测试正在推送给Windows 10和Windows 8的用户,他们已经注册了除Windows Defender之外的杀毒软件。
并且未启用security . enterprise _ root . enabled标志。官方表示,如果测试没有导致其他问题,未来应该会默认开启浏览器。
