Mozilla始于上个月底发布的Firefox 65因传出与部分杀毒软件不兼容,造成Firefox用户无法顺利访问网站,使得Mozilla暂时停止了Windows版Firefox 65的自动更新。
Firefox用户在Mozilla论坛上抱怨,当他们更新到Firefox 65之后,所访问的大多数网站都出现了“你的链接并不安全”(Your connection is not secure)而无法访问,并宣称该站采用了无效的安全凭证,所出现的错误代码为SEC_ERROR_UNKNOWN_ISSUER,这些网站包括Google、Facebook、Twitter,甚至是Firefox的自家网站。
根据Mozilla的说明,当链接到一个应该使用安全链接的网站(HTTPS)时,Firefox必须检验网站凭证是否有效,如果凭证无法被验证,Firefox会中断与网站的链接,并显示“你的链接并不安全”。
事实上,这是Firefox 65增添的新功能,在发现有人试图窃听加密的SSL流量,把自己的凭证加入浏览器并执行中间人攻击时就会提出警告,但有些杀毒软件为了监控SSL流量,便会嵌入自己的凭证,而遭到Firefox封锁。
Mozilla版本管理经理Ryan VanderMeulen在Mozilla的bug关注平台Bugzilla上指出,自从Firefox 65发布后,但凡是安装Avast & AVG杀毒软件的用户都会遭遇到类似的问题,这使得他们暂停了Windows版Firefox 65的自动更新。
Avast的安全研究人员David Jursa则说,Avast & AVG将会关闭Firefox的HTTPS过滤机制来解决该问题,之后才会发布正式的修补程序。
有网络安全专家怀疑除了Avast & AVG之外,应该还有其它杀毒软件也遭遇类似的问题,只是尚未经过Mozilla的证实。