经过六个多月的不断出现的问题，杀毒软件干扰Firefox的配置和证书存储，只导致HTTPS网站崩溃，Mozilla今天宣布了这个长期紧迫问题的最终解决方案。

根据Mozilla证书权威项目经理Wayne Thayer的说法，从Firefox 68开始，浏览器将自动启用about:config首选项，这将降低杀毒软件破坏HTTPS页面的可能性。

首选是“security.enterprise_root”。“启用”，从Firefox 68开始，如果检测到“中间人”TLS错误，浏览器将设置为true，这是典型的错误，特别是杀毒软件试图(和失败)拦截一个HTTPS网站的连接。

当启用此设置时，Firefox将自动导入在操作系统中包含的默认根证书之上添加的所有根证书。

这些附加的根证书通常是其他应用程序(包括杀毒软件)安装的证书。

因为Firefox使用自己的根证书存储包含一系列“批准证书”从列表中不同管理的操作系统,杀毒软件需要将其证书添加到Firefox可以拦截HTTPS进行交通在Firefox和检查恶意软件或坏的url。

但是，安装错误和许多其他问题都可能发生，这将导致Firefox显示典型的HTTPS (TLS) MITM错误页面，如下所示，每当防病毒程序将其根证书添加到Firefox时出现错误。

据塞耶说，去年冬天Firefox 65发布后，防病毒产品在Firefox内部产生的错误数量激增。

这些错误非常严重，以至于Mozilla不得不暂停Firefox 65的推出，以处理安装了AVG和Avast杀毒软件的系统中不断产生的错误。

后来出现了其他错误，是由其他杀毒软件供应商造成的，但原因是一样的。

塞耶说，Firefox开发人员一度考虑在这个错误页面上添加一个“修复”按钮，这样用户就可以按下它并自动启用“企业根”设置，这样他们就可以自动将“额外的”根证书从OS根存储导入Firefox的私有列表。

Firefox的工程师放弃了按钮的想法，但他们现在选择了自动解决方案。

“从Firefox 68开始，每当检测到MITM错误时，Firefox将自动打开‘企业根’首选项并重试连接，”Thayer说。

如果解决了这个问题，那么“企业根”首选项将保持启用状态(除非用户手动设置“security.enterprise_root”。启用了' preference to false ')。

我们还建议杀毒软件供应商启用这个首选项(通过修改prefs.js)，而不是将它们的根CA添加到Firefox根存储中，这是一个最佳实践。我们相信这些措施结合起来将大大减少Firefox用户遇到的问题。

这位Mozilla工程师还淡化了人们的担忧，即自动将操作系统根存储中的根证书导入Firefox并不会像一些用户担心的那样对浏览器的安全构成威胁。

“任何有能力向操作系统添加CA的用户或程序几乎肯定也有能力将相同的CA直接添加到Firefox根存储中，”他说。“另外，因为我们只导入不包含在操作系统中的ca，所以Mozilla可以在Firefox默认支持的受公众信任的ca上设置和执行行业中的最高标准。”

“简而言之，我们所做的改变满足了让Firefox更容易使用而不牺牲安全性的目标。”

火狐68将于下周发布，微软的正常补丁将于周二发布。