5月4日(GMT)早上,Mozilla的Firefox用戶怨聲載道,大量用戶打開瀏覽其發現擴展插件無法使用,手機版也是如此。有報道稱,此現象是由於Firefox底層SSL根證書過期所導致的,但據我們瞭解,這是由於AMO使用的代碼簽名證書無效所導致的,Firefox私有中間證書過期致使代碼簽名證書無效,從而導致插件驗證無法通過。Mozilla Add-ons,也稱為AMO,是一個為Mozilla產品查找和安裝Add-ons的資源,用於簽名和驗證插件。
下圖所示為AMO證書鏈,簽名證書(也稱為end-entity證書)由Firefox私有PKI的一箇中間證書頒發,且為每個插件都簽發有單獨的簽名證書。首先2年的證書有效期很容易被人忽略,其次對於證書到期Firefox卻無感知,可見Firefox在管理證書方面非常不嚴謹,不禁令用戶擔憂用於插件的代碼簽名私鑰的安全問題。證書到期現象多發生在用戶的HTTPS站點上,建議大家使用專業的證書管理工具,例如gdca數安時代的證書。
下圖為Firefox私有中間證書,紅框所示為中間證書到期日。
證書過期導致:
1.插件無法安裝。
2.已經安裝的插件無法使用
早先的 Firefox 沒有強制必須通過 AMO 簽名插件,用戶可以自行選擇代碼簽名證書,並且分發渠道分散,導致生態內部安全風險比較高。但現在政策調整為:正式版、beta版的安裝插件必須被AMO簽名,Nightly和Developer Edition可以加載未簽名的插件。
證書過期應該怎麼辦?
如果您的數字證書過期了,將無法繼續使用,您需要在您的證書到期前到數安時代GDCA辦理續費。續費完成後,證書服務系統將複製當前證書訂單的信息到續費訂單中,同時自動將續費證書訂單提交審核。
審核通過後,您將獲得一張新的數字證書,您需要在您的服務器上安裝新的數字證書來替換即將過期的證書。並且到期之前數安時代GDCA會提醒您證書到期,辦理手續。
我國經過國際Webtrust標準認證的CA機構僅有3家,而數安時代就是其中之一,除了自主品牌GDCA,還有Symantec、Globalsign、GeoTrust等品牌。數安時代以最安全的解決方案、專業的技術支持團隊用戶提供最權威的認證服務和最安全的認證保障。擁有豐富的應對和解決各種複雜及突發情況的專業服務支持團隊,可以為用戶提供7*24一對一服務與技術支持。如有需要可到官網諮詢客服。
閱讀更多 GDCA數安時代 的文章
