代碼簽名證書過時，Mozilla數百萬Firefox用戶遭遇擴展禁用

5月4日（GMT）早上，Mozilla的Firefox用戶怨聲載道，大量用戶打開瀏覽其發現擴展插件沒法使用，手機版也是如此。有報道稱，此現象是因爲Firefox底層SSL根證書過時所致使的，但據咱們瞭解，這是因爲AMO使用的代碼簽名證書無效所致使的，Firefox私有中間證書過時導致代碼簽名證書無效，從而致使插件驗證沒法經過。Mozilla Add-ons，也稱爲AMO，是一個爲Mozilla產品查找和安裝Add-ons的資源，用於簽名和驗證插件。

下圖所示爲AMO證書鏈，簽名證書（也稱爲end-entity證書）由Firefox私有PKI的一箇中間證書頒發，且爲每一個插件都簽發有單獨的簽名證書。國際CA的中間證書有效期通常爲5~10年，而Firefox的只有2年，首先2年的證書有效期很容易被人忽略，其次對於證書到期Firefox卻無感知，可見Firefox在管理證書方面很是不嚴謹，不由令用戶擔心用於插件的代碼簽名私鑰的安全問題。證書到期現象多發生在用戶的HTTPS站點上，建議你們使用專業的證書管理工具，例如KeyManager.org或MySSL.com的證書到期提醒服務。

下圖爲Firefox私有中間證書，紅框所示爲中間證書到期日。

 

證書過時致使：

1.插件沒法安裝。

2.已經安裝的插件沒法使用

 

早先的 Firefox 沒有強制必須經過 AMO 簽名插件，用戶能夠自行選擇代碼簽名證書，而且分發渠道分散，致使生態內部安全風險比較高。但如今政策調整爲：正式版、beta版的安裝插件必須被AMO簽名，Nightly和Developer Edition能夠加載未簽名的插件。

擴展/插件簽名的官方說明：Add-ons/Extension Signing

提交插件到AMO簽名的官方說明：簽名和分發你的擴展

 

 

【來自SSL China】