Firefox 38 與舊版 TLS
CentOS 5、6 及 7 已有新版 firefox 面世:Firefox 38
Firefox 38 的某些新功能改變了它連線至 TLS 1.2 或以下版本的方式
此改動已詳盡記載於多處,當中計有下列 Red Hat 文章:
https://access.redhat.com/node/1422403
該文章(https://access.redhat.com/solutions/1423443 )所引述的解決方法不適用未在 RHN 上註冊的用戶,因此我也會在此記載如何連線到舊版的網站。
假若你須要連線至採用舊版 TLS 的伺服器,你可透過不同途徑更改 Firefox 38 的設定值來替換預設的處理方法。請緊記,連線至舊版 TLS 的網站是不安全的,因此任何解決方案都只應有限度地部署。
Mozilla 引入了一個名為 security.tls.insecure_fallback_hosts 的設定,它是 Firefox 可進行連線的網站的白名單:
https://bugzilla.mozilla.org/show_bug.cgi?id=1128227
這個方法只應部署於你信任的網站,因為「中間人」(MITM)攻擊有可能透過舊版 TLS 進行(上述 Red Hat 文章已有所討論)。
要是你在網絡上搜尋 security.tls.insecure_fallback_hosts,你會發現很多網站教用戶如何將它們的網址加進 Firefox 的白名單……下面是一個例子:
https://blogs.rhsmith.umd.edu/smithitnews/alerts/firefox-issue-with-some-services-at-ares/
Mozilla 的支援網站亦湧現如下的問題:
https://support.mozilla.org/en-US/questions/1058856 https://support.mozilla.org/en-US/questions/1056008
它們都須要你將網站加進白名單。
那麼你如何把網站加進白名單呢?
在 Firefox 的網址列輸入:
about:config
- 要是你同意的話,接納所顯示的警告。
在清單頂部的搜尋列尋找 fallback
你應該會在第一欄找到 security.tls.insecure_fallback_hosts,請點擊它並在字串欄內加入主機名稱。
你只須輸入域名,切勿輸入整個連結。請以逗號分隔域名。譬如,你可輸入:
redhat.com, centos.org
- 接著按「確定」鍵。
- 你必須閉關並重新啟動瀏覽器才能運用新的設定。
- 請為所需網站重覆上述程序。
我知道這樣做很麻煩……你或許會有意欲還原舊有的自動降級方案。你可選擇這個做法。然而,請留意有關在該模式下可能受「中間人」攻擊的警告,而且只有在你願意接受這風險的前提下才走這一步……我並不建議這個做法。
要是你不接納我的建議,下面是所需的改動:
在 Firefox 的網址列輸入:
about:config
- 要是你同意的話,接納所顯示的警告。
在清單頂部的搜尋列尋找 fallback
點擊 security.tls.version.fallback-limit 並將數值由 3 改為 1
請緊記,我已告訴你不要這樣做
另一個可能性是採用多個設定檔……這參閱此 mozilla 連結:
你可以建立一個安全性較低的設定檔,然後唯獨是存取有 TLS 問題的網站時才應用該設定檔。
Translation of revision 5