Firefox 38 与旧版 TLS
CentOS 5、6 及 7 已有新版 firefox 面世:Firefox 38
Firefox 38 的某些新功能改变了它连接至 TLS 1.2 或以下版本的方式
此改动已详尽记载于多处,当中计有下列 Red Hat 文章:
https://access.redhat.com/node/1422403
该文章(https://access.redhat.com/solutions/1423443 )所引述的解决方法不适用未在 RHN 上注册的用户,因此我也会在此记载如何连接到旧版的网站。
假若你须要连接至采用旧版 TLS 的服务器,你可通过不同途径更改 Firefox 38 的设置值来替换缺省的处理方法。请紧记,连接至旧版 TLS 的网站是不安全的,因此任何解决方案都只应有限度地部署。
Mozilla 引入了一个名为 security.tls.insecure_fallback_hosts 的设置,它是 Firefox 可进行连接的网站的白名单:
https://bugzilla.mozilla.org/show_bug.cgi?id=1128227
这个方法只应部署于你信任的网站,因为「中间人」(MITM)攻击有可能通过旧版 TLS 进行(上述 Red Hat 文章已有所讨论)。
要是你在网络上寻找 security.tls.insecure_fallback_hosts,你会发现很多网站教用户如何将它们的网址加进 Firefox 的白名单……下面是一个例子:
https://blogs.rhsmith.umd.edu/smithitnews/alerts/firefox-issue-with-some-services-at-ares/
Mozilla 的支持网站亦涌现如下的问题:
https://support.mozilla.org/en-US/questions/1058856 https://support.mozilla.org/en-US/questions/1056008
它们都须要你将网站加进白名单。
那么你如何把网站加进白名单呢?
在 Firefox 的网址列输入:
about:config
- 要是你同意的话,接纳所显示的警告。
在清单顶部的寻找列寻找 fallback
你应该会在第一栏找到 security.tls.insecure_fallback_hosts,请点击它并在符串栏内加入主机名称。
你只须输入域名,切勿输入整个连结。请以逗号分隔域名。譬如,你可输入:
redhat.com, centos.org
- 接着按「确定」键。
- 你必须闭关并重新引导浏览器才能运用新的设置。
- 请为所需网站重复上述程序。
我知道这样做很麻烦……你或许会有意欲撤消旧有的自动降级方案。你可选择这个做法。然而,请留意有关在该模式下可能受「中间人」攻击的警告,而且只有在你愿意接受这风险的前提下才走这一步……我并不推荐这个做法。
要是你不接纳我的推荐,下面是所需的改动:
在 Firefox 的网址列输入:
about:config
- 要是你同意的话,接纳所显示的警告。
在清单顶部的寻找列寻找 fallback
点击 security.tls.version.fallback-limit 并将数值由 3 改为 1
请紧记,我已告诉你不要这样做
另一个可能性是采用多个配置文件……这参阅此 mozilla 连结:
你可以创建一个安全性较低的配置文件,然后唯独是访问有 TLS 问题的网站时才应用该配置文件。
Translation of revision 5