由于SHA-1脆弱的安全性,Mozilla、谷歌、微软纷纷宣布了弃用这项加密技术的计划。但是由于不少设备与平台未能及时跟进,这一迁移让大量老用户受到了影响。此前,Facebook曾表示会为不支持SHA-1的访客继续提供服务。而在部分Firefox用户报告无法访问加密的HTTPS网站之后,Mozilla现也不得不暂停了简单粗暴的禁止访问策略,除非找到能够避免这一影响的变通之法。
由于SHA-1认证存在中间人攻击的隐患(以及绕开反病毒产品的安全扫描),Mozilla停止了对这一加密技术的支持,但却引发了意想不到的后果。
在一篇博客文章中,安全工程师Richard Barnes解释到,大多数Firefox用户并未受到影响,遇到问题的人们只需升级到周三发布的最新版Firefox 43.0.4即可解决。
当用户尝试连接至一个HTTPS站点时,中间人设备会给Firefox发送一个新的SHA-1认证,而不是来自服务器的真实证书。由于Firefox拒绝新的SHA-1证书,它就无法连接到服务器了。
好消息是,你可以在Mozilla安全博客上获悉自己是否受到影响,如不幸掉坑,直接从该网站上升级即可。