Firefox 38 與舊版 TLS

CentOS 5、6 及 7 已有新版 firefox 面世:Firefox 38

Firefox 38 的某些新功能改變了它連線至 TLS 1.2 或以下版本的方式

此改動已詳盡記載於多處,當中計有下列 Red Hat 文章:

https://access.redhat.com/node/1422403

該文章(https://access.redhat.com/solutions/1423443 )所引述的解決方法不適用未在 RHN 上註冊的用戶,因此我也會在此記載如何連線到舊版的網站。

假若你須要連線至採用舊版 TLS 的伺服器,你可透過不同途徑更改 Firefox 38 的設定值來替換預設的處理方法。請緊記,連線至舊版 TLS 的網站是不安全的,因此任何解決方案都只應有限度地部署。

Mozilla 引入了一個名為 security.tls.insecure_fallback_hosts 的設定,它是 Firefox 可進行連線的網站的白名單:

https://bugzilla.mozilla.org/show_bug.cgi?id=1128227

這個方法只應部署於你信任的網站,因為「中間人」(MITM)攻擊有可能透過舊版 TLS 進行(上述 Red Hat 文章已有所討論)。

要是你在網絡上搜尋 security.tls.insecure_fallback_hosts,你會發現很多網站教用戶如何將它們的網址加進 Firefox 的白名單……下面是一個例子:

https://blogs.rhsmith.umd.edu/smithitnews/alerts/firefox-issue-with-some-services-at-ares/

Mozilla 的支援網站亦湧現如下的問題:

https://support.mozilla.org/en-US/questions/1058856 https://support.mozilla.org/en-US/questions/1056008

它們都須要你將網站加進白名單。

那麼你如何把網站加進白名單呢?

  1. 在 Firefox 的網址列輸入:

    about:config
  2. 要是你同意的話,接納所顯示的警告。
  3. 在清單頂部的搜尋列尋找 fallback

  4. 你應該會在第一欄找到 security.tls.insecure_fallback_hosts,請點擊它並在字串欄內加入主機名稱。

  5. 你只須輸入域名,切勿輸入整個連結。請以逗號分隔域名。譬如,你可輸入:

    redhat.com, centos.org
  6. 接著按「確定」鍵。
  7. 你必須閉關並重新啟動瀏覽器才能運用新的設定。
  8. 請為所需網站重覆上述程序。


我知道這樣做很麻煩……你或許會有意欲還原舊有的自動降級方案。你可選擇這個做法。然而,請留意有關在該模式下可能受「中間人」攻擊的警告,而且只有在你願意接受這風險的前提下才走這一步……我並不建議這個做法。

要是你不接納我的建議,下面是所需的改動:

  1. 在 Firefox 的網址列輸入:

    about:config
  2. 要是你同意的話,接納所顯示的警告。
  3. 在清單頂部的搜尋列尋找 fallback

  4. 點擊 security.tls.version.fallback-limit 並將數值由 3 改為 1

  5. 請緊記,我已告訴你不要這樣做 :)


另一個可能性是採用多個設定檔……這參閱此 mozilla 連結:

http://mzl.la/1BAQGnB

你可以建立一個安全性較低的設定檔,然後唯獨是存取有 TLS 問題的網站時才應用該設定檔。

Translation of revision 5

zh-tw/TipsAndTricks/Firefox38onCentOS (last edited 2019-12-09 09:11:40 by anonymous)