題 Firefox拒絕連接pbs.twimg.com和其他主要網站


突然之間,Firefox(62.0.3)無法從Twitter相關網站加載CSS和其他內容。例如,在打開“網絡”面板的情況下連接到Twitter,我發現它無法從以下位置檢索內容:

Twitter使用這些域來託管內容,如圖像,CSS樣式表,Javascript等。

如果我嘗試直接連接其中一個URL,Firefox會告訴我:

連接到abs.twimg.com時發生錯誤。

  • 您嘗試查看的頁面無法顯示,因為無法驗證接收數據的真實性。
  • 請與網站所有者聯繫,告知他們這個問題。

我不確定這條錯誤消息究竟是什麼告訴我的。


3
2017-10-12 04:25


起源


聽起來好像 superuser.com/questions/1366132/firefox-wont-load-twitter - Arjan
可以確認,我在63.0b13(64位)。 - user3108268
我不知道這兩個網站是什麼,但它們在任何瀏覽器上根本不起作用。 - harrymc
它們看起來根本不像Twitter - Twitter的作品。 - harrymc
@harrymc他們看起來很像twitter。打開“網絡”開發人員面板,觀看當您訪問twitter.com時加載的資源...或者只是在twitter.com上查看“查看源代碼”並查看所有twimg.com鏈接。我懷疑你是在不同的瀏覽器或不同版本的Firefox。 - larsks


答案:


我能夠通過改變來解決這個問題 security.tls.version.max 在 about:config中。它顯示默認值為4,它啟用了TLS 1.3版。將其設置為3(TLS 1.2)為我解決了這個問題。為了安全起見,我也改變了 security.tls.version.fallback-limit 也是3。

根據 發行說明,此設置的默認值在Firefox 60中一直有所改變。但我最近剛開始注意到這種行為。


4
2017-10-12 21:44



當時TLSv1.3尚未正式完成,OpenSSL和GnuTLS中的實現仍在進行中,並且到目前為止很少有Web服務器提供它。 - grawity
謝謝!修復了Twitter和其他幾個有同樣問題的網站... - larsks


這些網絡服務器沒有正確的TLSv1.3。

HTTP / 2對底層TLS會話的密碼強度有相當嚴格的要求,並且Web服務器應該強制執行某個安全級別。

似乎有些Web服務器(特別是Verizon Edgecast / VDMS CDN)已經以密碼碼點或類似的白名單的形式實現了它 - 但是由於TLSv1.3完全重做了協議協商,即使是最強的密碼也不再匹配白名單,因為它們是使用不同的代碼點協商的。因此,服務器會以“安全性不足”錯誤代碼啟動您。

$ nghttp -vn <url>
...
[  0.153] recv GOAWAY frame <length=26, flags=0x00, stream_id=0>
          (last_stream_id=0, error_code=INADEQUATE_SECURITY(0x0c), opaque_data(18)=[cipher is banned! ])

然而,在撰寫這篇文章的過程中,Twitter似乎只是禁用了TLSv1.3。其他網站也可能很快解決這個問題。

目前,您可以通過about:config將Firefox限制為TLSv1.2。

相關鏈接:


3
2017-10-12 21:49