B6a0da45a50a6a1e23da4f35b8fb3e60 先前Firefox在瀏覽網頁時,會透過內建的根憑證檢驗網站的SSL憑證,以確保網站的真實身份,並避免釣魚網站危害使用者的安全。但在Firefox 65推出後,則因與防毒軟體提供的憑證衝突,造成網頁無法開啟的狀況,Mozilla表示目前正在測試使用儲存於Windows根憑證,以排除問題。

SSL憑證惹的禍

在電腦資安領域中,憑證的功能在於確認持有人的身分,可以理解為網路上的身份證。信任鏈的起點由根憑證(Root Certificate)開始,由稱為根憑證頒發機構的政府機關或Google 、Let's Encrypt等專職公司自行簽發,然後根憑證頒發機構也能簽發中介憑證,讓其他具有中介憑證的單位能夠繼續簽發終端憑證,如此一來就能形成樹狀的結構,所有中介、終端憑證會因根憑證可被信任,而具有信任基礎。

Firefox在瀏覽網頁的過程中,會透過內建的根憑證檢驗網站的SSL憑證,而不是使用Windows管理的根憑證,這個設計可以讓Firefox完全控制信任的根憑證,有助於確保安全性。

部份包括Avast、Bitdefender、Kaspersky在內的防毒軟體為了掃瞄SSL連線的安全性,會將自家的憑證安裝至Firefox與Windows。但是在Firefox更新至65版之後,則會因為Firefox無法正確使用防毒軟體的憑證,造成網頁無法正常開啟的問題。

Firefox測試導入使用Windows根憑證,解決SSL憑證與防毒軟體衝突問題

Firefox測試導入使用Windows根憑證,解決SSL憑證與防毒軟體衝突問題

Firefox測試導入使用Windows根憑證,解決SSL憑證與防毒軟體衝突問題

Firefox測試導入使用Windows根憑證,解決SSL憑證與防毒軟體衝突問題

利用Windows根憑證解決問題

目前有2種方式能夠解決這個問題,第1種是直接關閉防毒軟體的掃瞄SSL連線功能,但是這樣會因為沒有檢查SSL連線是否安全,進而導致增加資安風險的副作用,所以並不建議這樣做。

第2種則是開啟Firefox中的「security.enterprise_roots.enabled」設定,讓Firefox使用儲存於Windows根憑證,詳細的操作方式可以參考下方圖片的流程,進階設定畫面,將「security.enterprise_roots.enabled」的設定值改為True,就能解決問題。

Firefox測試導入使用Windows根憑證,解決SSL憑證與防毒軟體衝突問題

Firefox測試導入使用Windows根憑證,解決SSL憑證與防毒軟體衝突問題

根據Firefox的錯誤回報網頁記錄, Firefox在66版中開始對Windows 8、Windows 10的使用者推送測試,如果系統的防毒軟體不是Windows Defender的話,就會自動將「security.enterprise_roots.enabled」設為True,在確認不會導致其它問題,並經過更詳盡的測試之後,Firefox應該就會正式導入該功能,避免防毒軟體造成網頁無法開啟的問題。

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則