5月4日(GMT)早上,Mozilla的Firefox用户怨声载道,大量用户打开浏览其发现扩展插件无法使用,手机版也是如此。有报道称,此现象是由于Firefox底层SSL根证书过期所导致的,但据我们了解,这是由于AMO使用的代码签名证书无效所导致的,Firefox私有中间证书过期致使代码签名证书无效,从而导致插件验证无法通过。Mozilla Add-ons,也称为AMO,是一个为Mozilla产品查找和安装Add-ons的资源,用于签名和验证插件。
下图所示为AMO证书链,签名证书(也称为end-entity证书)由Firefox私有PKI的一个中间证书颁发,且为每个插件都签发有单独的签名证书。首先2年的证书有效期很容易被人忽略,其次对于证书到期Firefox却无感知,可见Firefox在管理证书方面非常不严谨,不禁令用户担忧用于插件的代码签名私钥的安全问题。证书到期现象多发生在用户的HTTPS站点上,建议大家使用专业的证书管理工具,例如gdca数安时代的证书。
下图为Firefox私有中间证书,红框所示为中间证书到期日。
证书过期导致:
1.插件无法安装。
2.已经安装的插件无法使用
早先的 Firefox 没有强制必须通过 AMO 签名插件,用户可以自行选择代码签名证书,并且分发渠道分散,导致生态内部安全风险比较高。但现在政策调整为:正式版、beta版的安装插件必须被AMO签名,Nightly和Developer Edition可以加载未签名的插件。
证书过期应该怎么办?
如果您的数字证书过期了,将无法继续使用,您需要在您的证书到期前到数安时代GDCA办理续费。续费完成后,证书服务系统将复制当前证书订单的信息到续费订单中,同时自动将续费证书订单提交审核。
审核通过后,您将获得一张新的数字证书,您需要在您的服务器上安装新的数字证书来替换即将过期的证书。并且到期之前数安时代GDCA会提醒您证书到期,办理手续。
我国经过国际Webtrust标准认证的CA机构仅有3家,而数安时代就是其中之一,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌。数安时代以最安全的解决方案、专业的技术支持团队用户提供最权威的认证服务和最安全的认证保障。拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供7*24一对一服务与技术支持。如有需要可到官网咨询客服。
