Firefox将自动信任OS安装的CA证书以防止TLS错误

大多数防病毒软件都提供了网络安全功能，可以拦截加密的HTTPS连接，以便在恶意网页到达web浏览器之前监视其内容。

为了实现这一点，安全软件将网站的TLS证书替换为任何受信任的证书颁发机构（CA）颁发的数字证书。

由于Mozilla只信任其自己的根存储中列出的CA，因此不允许依赖操作系统（OS）提供的其他受信任CA的防病毒产品在Firefox上拦截HTTPS连接。

近几个月来，这种限制不断地使许多Firefox用户的HTTPS页面崩溃，当他们的防病毒程序试图通过向Firefox商店添加支持HTTPS的页面的根证书来拦截该页面时，向他们显示SEC_ERROR_UNKNOWN_ISSUER、MOZILLA_PKIX_ERROR_MITM_DETECTED或ERROR_SELF_SIGNED__CERT错误代码。

为了让用户轻松解决这个问题，从Firefox 68开始，浏览器现在将自动启用“企业根”首选项，并在检测到“中间人”TLS错误时重试连接。

启用“security.enterprise_root.enabled”设置可通过导入“用户、管理员或计算机上安装的程序添加到操作系统的任何根CA”，将Firefox配置为信任操作系统证书存储中的证书

据该公司称，Windows和MacOS上都有此选项。

该公司还建议防病毒供应商启用“企业根目录”首选项，而不是将自己的根目录CA添加到Firefox根目录存储中。
此外，该公司还表示，在Firefox ESR 68中，“企业根”首选项设置将默认启用。

Mozilla解释说：“由于扩展支持版本通常用于企业环境，在这些环境中，Firefox需要识别组织自己的内部CA，因此此更改将简化管理员部署Firefox的过程”。

在谈到用户对Firefox自动信任证书的担忧时，该公司表示，“任何能够将CA添加到操作系统的用户或程序几乎肯定也能够将相同的CA直接添加到Firefox根存储中”。

 

“此外，由于我们只导入操作系统中未包含的CA，Mozilla能够在Firefox默认支持的受公众信任的CA上设置和实施业界最高标准”。

 

“简言之，我们正在进行的更改实现了在不牺牲安全性的情况下让Firefox更易于使用的目标”。

除此之外，从定于7月9日发布的Firefox 68开始，摄像头和麦克风等敏感设备功能将需要HTTPS连接才能与浏览器配合使用。