经过半年多的问题反复出现，杀毒软件干扰火狐配置和证书存储，才导致HTTPS网站崩溃。Mozilla今天宣布了这个长期紧迫问题的最终解决方案。

根据Mozilla证书颁发机构项目经理Wayne Thayer的说法，从Firefox 68开始，浏览器将自动启用大约：config首选项，这将降低反病毒软件破坏HTTPS页面的可能性。

首选Security.enterprise_root。“已启用”，从Firefox 68开始，如果检测到“中间人”TLS错误，浏览器将设置为true，这是一个典型的错误，尤其是当防病毒软件尝试(并且失败)拦截HTTPS网站的连接时。

启用此设置后，Firefox将自动导入操作系统中默认根证书之上添加的所有根证书。

这些附加的根证书通常是由其他应用程序(包括防病毒软件)安装的证书。

由于Firefox使用自己的根证书存储来包含不同托管操作系统列表中的一系列“批准证书”，因此防病毒软件需要将其证书添加到Firefox中，这样可以在Firefox中拦截HTTPS的流量，并检查恶意软件或不良网址。

但是，可能会出现安装错误和许多其他问题，这将导致火狐显示典型的HTTPS (TLS) MITM错误页面，如下所示。每次防病毒程序将其根证书添加到Firefox时，都会发生错误。

根据Sayer的说法，去年冬天Firefox 65发布后，Firefox中反病毒产品犯下的错误数量急剧增加。

这些错误如此严重，以至于Mozilla不得不暂停火狐65的推出，以应对安装了AVG和Avast防病毒软件的系统中不断出现的错误。

后来又出现了其他错误，都是其他杀毒软件厂商造成的，但原因是一样的。

Sayer表示，火狐开发者曾经考虑过在这个错误页面上添加一个“修复”按钮，让用户按下后自动启用“企业根”设置，这样就可以自动将OS根存储中的“额外”根证书导入火狐的私有列表中。

Firefox的工程师放弃了按钮的想法，但现在他们选择了自动解决方案。

泰尔说：“从Firefox 68开始，每当检测到MITM错误时，Firefox都会自动打开‘企业根’首选项并重试连接。

如果此问题得到解决，“企业根目录”首选项将保持启用状态(除非用户手动设置“security.enterprise_root”)。已启用“优先于false”)。

我们还建议防病毒软件供应商启用此首选项(通过修改prefs.js)，而不是将其根CA添加到Firefox根存储中，这是最佳做法。我们相信这些措施的结合将大大减少火狐用户遇到的问题。

这位Mozilla工程师还淡化了人们的担忧，即自动将操作系统根存储中的根证书导入Firefox不会像一些用户担心的那样对浏览器的安全性构成威胁。

他说：“任何有能力向操作系统添加CA的用户或程序，几乎肯定都有能力将同一CA直接添加到Firefox根存储中。“此外，由于我们只导入操作系统中没有包含的cas，因此Mozilla可以在Firefox支持的、公众默认信任的cas上设置并执行行业最高标准。”

“简而言之，我们所做的更改满足了在不牺牲安全性的情况下让Firefox更容易使用的目标。”

火狐68将于下周发布，微软的普通补丁将于周二发布。