treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

Firefoxでアドオン無効化の不具合が⇒アップデートで解決(暫定)

PC セキュリティ ブラウザ

ゴールデンウィーク中のインシデントその2。
ゴールデンウィーク中にFirefoxのアップデートが自動実行された場合、既存のアドオンが丸ごと「旧式の拡張機能」扱いとなって無効化されてしまいます、という現象についてご報告です。

ゴールデンウィーク明けにFirefoxのアドオンがおかしくなっていたら、まずはバージョンチェックと、情報収集が必要になりそうです。

アップデートが動作後

ゴールデンウィーク中にPCを利用していたとき、(おそらくバックグラウンドで)アップデートの動作後に
「一部のアドオンが無効化されています」
と表示されて、「Firefoxによるサポートが終了した拡張機能があります」と画面に表示される隣に「旧式の拡張機能を表示」というリンクが出てくる、という状況。(画面は取り忘れ)
レガシーなアドオンなんてこの環境じゃあ利用してなかったんだけどな…
と思いながら開いてみると、

f:id:treedown:20190506150828p:plain

ん?旧式の拡張機能…、じゃないはずなんですけど、なんか無効化されています。

待つのがよさそう?

(個人的な)結論から言うと、急ぎでアドオンが使えないと問題になる、という環境以外では、順次アップデートが適用されていくのを待つのがよさそうに思えます。

discourse.mozilla.org

ここにある、

blog.mozilla.org

このページには、5月5日更新の記述に(以下、英文のニュアンス)

「デスクトップ(とAndroidの)バージョン66.0.4とESRのバージョン60.6.2がリリースされ配信が開始しました。
このリリースでは、無効化されていたWeb拡張機能、テーマ、検索エンジン、および言語パックを再度有効にするために証明書チェーンが修正されています(バグ1549061 )。 」

と記載があります。

「バグ1549061」と記載されている「アドオン署名中間証明書ドットリリース用のパッチを作成する」という文書が問題の原因となったインシデント。

さておき、現状"とりあえずの対処がされたバージョン"が配信されているということのようです。

バージョン確認

手持ちの環境はFirefox ESRなので、これ以降はESRの話となります。
5月6日現在のバージョン、「60.6.2esr」が最新バージョンとなります。
問題が起きるバージョンは

f:id:treedown:20190506151016p:plain
「60.6.0esr」と表記される。
おそらくサポートブログにある「証明書チェーンが修正された」バージョンというのが、

f:id:treedown:20190506151030p:plain

「60.6.2esr」と表記されているコチラ。

ゴールデンウィーク中にFirefoxのアップデートが動作してしまった環境では、ゴールデンウィーク明けにもう一度、Firefoxのアップデートチェックを実行してバージョンアップしておく必要があるよ、ということになりそう。

ちなみにESRでない通常版のFirefoxなら、サポートブログに記載されている「バージョン66.0.4」が適用されていれば、とりあえずのアドオン不具合は緩和されていると考えられます。ESR以外使ってないので確認できないけども。

で、解決したの?

「で、解決してるんですか?」
と聞かれる、答えは
「いや、全部は解決してないっぽい。」
という。

とはいえ、5月6日現在でのバージョンアップで一時的な対処と(たぶん)ゴールデンウィーク中にFirefoxを起動していなかったユーザにはこの問題が起きないように上述のバージョンがリリースされたんだと認識しています。

でも、既に問題が起きたFirefox環境では、カスタマイズした設定がリセットされているってこともあるようですし、自動的に復旧しないアドオンがあれば再インストールなり(運が良ければ)手動で有効化して再び利用できるようにする操作が要求される点は、上記バージョン「60.6.2esr」や「66.0.4」を適用しても変わりません。

とりあえず、まだアップデートしていないユーザに問題が波及するのを防ぐ、という主旨があってリリースされたバージョン、ということで、この先のバージョンアップで順次この辺がクリアになっていくんだろうな、と勝手に解釈しています。

問題の詳細(簡単に詳細)

Firefoxにアドオンを導入する際にはアドオンの署名が強制される仕様に変更された時期がありました。
これによって、アドオン署名=電子証明書が利用されるようになりましたが、今回のアップデートではFirefox内に組み込まれている電子証明書(中間CA証明書)の有効期限が切れた状態でアップデートが配信されたというところに原因があるようです。
ホントなら、もっと前の段階(たとえば先月のアップデート)で有効期限がより先に伸びた更新版の中間CA証明書を組み込んでFirefoxのアップデートを配信していたんだと思いますけど、それがうまく動作してなかったか、抜け漏れがあったか、ってところなのかもしれません。

結局Firefox内でアドオンを判別する機能がどんなアドオンの署名であってもすべて「有効期限切れ」と判断され、そう判断されたアドオンは容赦なく「旧式の拡張機能」であると判別されるために、アドオン丸ごと全部無効化、なんて動作が発生している、と考えられます。

ゴールデンウィーク中だと企業でPCが起動されているケースも少ないだろうから、連休中の発生でよかった、と思うところもちょっとあります。
アドオンしこたま利用しているユーザの環境でこれが発生したらと思うと…、いやあ、想像したくない、ユーザからの怒濤の(勢いでの)問い合わせが目に浮かびます。

当ブログ過去記事をご覧になった方向け

以前の記事

blog.treedown.net

でアドオン署名を無効にされた場合、

これは、セキュリティの向上を目的としてアドオン署名を強制したFirefoxの機能を自ら「セキュリティを低下させて古いアドオンを利用する」ためのやり方になりますので、
とりあえず無効化されたアドオンを利用するための緊急対処としてはOK
ですが、
恒久的にこの状態で利用し続ける、のは望ましくない
とされています。

あくまで一時的な対処策としての設定をおすすめしておきたいところです。つまり対策バージョンがリリースされアドオンが問題なく動作するようになったら元に戻した方が…、ということですね。