签名验证错误,Firefox

【问题标题】:Signature Verification Error, firefox签名验证错误,Firefox
【发布时间】:2015-06-15 13:20:24
【问题描述】:

我在 Firefox 浏览器控制台中收到此消息: “签名验证错误:此 .jar 存档上的签名无效,因为用于签署此文件的证书具有无法识别的颁发者。” 这很奇怪,因为我在以前版本的 Firefox 中使用过这个证书,并且我的扩展被识别为已签名。 我当前的 Firefox 版本是 38.0.5。

【问题讨论】:

    标签: firefox firefox-addon code-signing


    【解决方案1】:

    这有多种可能性。如果没有更多信息,就无法准确缩小导致问题的原因。你使用的是什么 CA,操作系统,它工作的最后一个 Firefox 版本是什么,等等?

    错误修复:

    例如,可能修复了以下错误:

    • Bug 1077864 - 检查 tbsCertificate.signature 和 signatureAlgorithm 在 mozilla::pkix 中是否相等
    • Bug 968560 - 在 mozilla::pkix 中为尚未生效的证书返回一个不同的错误代码,而不是过期的证书
    • Bug 1146010 - 黑名单误发 XS4ALL 证书

    其他与证书相关的错误已修复:

    • Bug 1131767 - 更早地使用不可接受的签名算法修剪路径
    • Bug 1076329 - sec_error_unknown_issuer 用于使用导入的 CA 证书签名的站点
    • Bug 1097622 - mozilla::pkix 在解码无效时间值时返回 ERROR_NOT_YET_VALID_CERTIFICATE 或 ERROR_EXPIRED_CERTIFICATE 而不是 ERROR_INVALID_TIME
    • Bug 1085506 - 为遇到的所有 TLS 握手证书验证错误添加遥测
    • Bug 1123671 - 在 Nightly 和 Developer Edition 中单击无效证书的“添加例外”失败
    • Bug 1143085 - 带有空主题替代名称扩展名的证书被 Firefox 36 拒绝(例如,默认情况下由 TinyCA 生成)
    • Bug 1126675 - 在某些奇怪的证书情况下,站点身份数据不会更新
    • Bug 1155279 - 暂时重新启用 Equifax 安全证书颁发机构 1024 位根
    • Bug 1027512 - 重构 getCertificate() 安全的 lib 函数,以修复安全测试中的 'SSLStatus is null' js 类型错误
    • Bug 1146314 - testSecurityNotification.js 中的测试失败 'sec_error_expired_certificate != sec_error_unknown_issuer'
    • Bug 1130754 - 每个路径构建步骤最多计算一次 tbsCertificate 摘要

    扩展签名的整体变化:

    这也可能是因为 Mozilla 已更改/正在更改为要求所有扩展都通过 addons.mozilla.org (AMO) 签名。除非在 Firefox 中明确启用,否则自签名将不再被接受。进行此更改的原因是“保护用户免受未经审查的恶意软件和扩展程序的侵害”。

    到目前为止,已在 AMO 上审核的所有扩展程序都已签署。这发生在 2015 年 5 月 28 日或前后。 Firefox 的一项更改可能是要求所有证书的颁发者都是 AMO。我没有看到此更改已在 38.0.5 中实施,但我确实希望这将是一项要求。如果是,则会生成您报告的错误,并且不允许安装扩展程序(除非检查签名已被禁用)。我的印象是这应该从 Firefox 40 开始启用,但它的某些部分可能已进入 38.0.5 并导致您的问题。

    AMO 在 5 月下旬向插件开发者发送了以下电子邮件:

    亲爱的插件开发者,

    Mozilla 将开始签署所有附加组件,以保护用户免受 未经审查的恶意软件和扩展程序。这就是你 需要了解新流程:

    通过 addons.mozilla.org 分发的附加组件无需任何操作 (阿莫)。 2015 年 5 月 28 日,您现有插件的最新版本 将自动签名并作为更新推送给您的用户, 之后您将收到一封电子邮件通知。从六月开始 1,您提交的所有文件都将在审核通过后签名。

    如果您有不是通过 AMO 分发的附加组件,包括测试版 版本或调试版本,附加组件中将有一个新选项 提交过程将这些作为未列出的附加组件提交 6 月 1 日。从 6 月 15 日左右开始,基于 Firefox 40 的构建用户 或更高版本(当前为 Nightly 和 Developer Edition)将看到未签名 默认情况下禁用附加组件,可以选择绕过签名 检查以重新启用它们。用户将无法再绕过 当基于 Firefox 41 的构建达到 beta 时,签名检查,或 8月11日左右。

    Firefox 插件分发协议也已更新为 反映新的分配选项并阐明我们的审查政策。 您可以在此处阅读更新后的协议: https://developer.mozilla.org/Add-ons/AMO/Policy/Agreement

    如果您有任何问题或疑虑,请阅读附加签名常见问题解答或 访问我们的论坛:
    常见问题解答:https://wiki.mozilla.org/Addons/Extension_Signing
    论坛:https://forums.mozilla.org/viewforum.php?f=7

    此插件团队敬上

    您收到这封电子邮件是因为您在
    上托管了一个插件 addons.mozilla.org。根据我们的服务条款,我们可能偶尔
    就与您的特定插件相关的问题与您联系。

    【讨论】:

      猜你喜欢
      • 2019-05-11
      • 2016-03-09
      • 2015-10-13
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2023-03-03
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode