Firefox 38 与旧版 TLS

CentOS 5、6 及 7 已有新版 firefox 面世:Firefox 38

Firefox 38 的某些新功能改变了它连接至 TLS 1.2 或以下版本的方式

此改动已详尽记载于多处,当中计有下列 Red Hat 文章:

https://access.redhat.com/node/1422403

该文章(https://access.redhat.com/solutions/1423443 )所引述的解决方法不适用未在 RHN 上注册的用户,因此我也会在此记载如何连接到旧版的网站。

假若你须要连接至采用旧版 TLS 的服务器,你可通过不同途径更改 Firefox 38 的设置值来替换缺省的处理方法。请紧记,连接至旧版 TLS 的网站是不安全的,因此任何解决方案都只应有限度地部署。

Mozilla 引入了一个名为 security.tls.insecure_fallback_hosts 的设置,它是 Firefox 可进行连接的网站的白名单:

https://bugzilla.mozilla.org/show_bug.cgi?id=1128227

这个方法只应部署于你信任的网站,因为「中间人」(MITM)攻击有可能通过旧版 TLS 进行(上述 Red Hat 文章已有所讨论)。

要是你在网络上寻找 security.tls.insecure_fallback_hosts,你会发现很多网站教用户如何将它们的网址加进 Firefox 的白名单……下面是一个例子:

https://blogs.rhsmith.umd.edu/smithitnews/alerts/firefox-issue-with-some-services-at-ares/

Mozilla 的支持网站亦涌现如下的问题:

https://support.mozilla.org/en-US/questions/1058856 https://support.mozilla.org/en-US/questions/1056008

它们都须要你将网站加进白名单。

那么你如何把网站加进白名单呢?

  1. 在 Firefox 的网址列输入:

    about:config
    
  2. 要是你同意的话,接纳所显示的警告。
  3. 在清单顶部的寻找列寻找 fallback

  4. 你应该会在第一栏找到 security.tls.insecure_fallback_hosts,请点击它并在符串栏内加入主机名称。

  5. 你只须输入域名,切勿输入整个连结。请以逗号分隔域名。譬如,你可输入:

    redhat.com, centos.org
    
  6. 接着按「确定」键。
  7. 你必须闭关并重新引导浏览器才能运用新的设置。
  8. 请为所需网站重复上述程序。


我知道这样做很麻烦……你或许会有意欲撤消旧有的自动降级方案。你可选择这个做法。然而,请留意有关在该模式下可能受「中间人」攻击的警告,而且只有在你愿意接受这风险的前提下才走这一步……我并不推荐这个做法。

要是你不接纳我的推荐,下面是所需的改动:

  1. 在 Firefox 的网址列输入:

    about:config
    
  2. 要是你同意的话,接纳所显示的警告。
  3. 在清单顶部的寻找列寻找 fallback

  4. 点击 security.tls.version.fallback-limit 并将数值由 3 改为 1

  5. 请紧记,我已告诉你不要这样做 :)


另一个可能性是采用多个配置文件……这参阅此 mozilla 连结:

http://mzl.la/1BAQGnB

你可以创建一个安全性较低的配置文件,然后唯独是访问有 TLS 问题的网站时才应用该配置文件。

Translation of revision 5

zh/TipsAndTricks/Firefox38onCentOS (last edited 2015-05-14 04:05:58 by TimothyLee)