De repente, o Firefox (62.0.3) não está conseguindo carregar CSS e outros conteúdos de sites relacionados ao Twitter. Por exemplo, conectando-se ao Twitter com o painel "Rede" aberto, vejo que está falhando ao recuperar o conteúdo de:
O Twitter usa esses domínios para hospedar conteúdo, como imagens, folhas de estilo CSS, Javascript, etc.
Se eu tentar conectar diretamente a um desses URLs, o Firefox me diz:
An error occurred during a connection to abs.twimg.com.
- The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
- Please contact the website owners to inform them of this problem.
Não sei exatamente o que esta mensagem de erro está tentando me dizer.
Consegui resolver esse problema alterando security.tls.version.max em about: config . Ele mostrou um padrão de 4, que ativa o TLS versão 1.3. Defini-lo como 3 (TLS 1.2) resolveu o problema para mim. Por segurança, também alterei security.tls.version.fallback-limit para 3.
De acordo com as notas de lançamento , o padrão para essa configuração foi alterado até o final no Firefox 60. Mas eu definitivamente comecei a perceber esse comportamento recentemente.
Estes servidores Web não fazem TLSv1.3 direito.
O HTTP / 2 possui requisitos bastante estritos em relação à força de criptografia da sessão TLS subjacente, e os servidores da Web devem impor um certo nível de segurança.
Parece que alguns servidores da Web (especificamente, o Verizon Edgecast / VDMS CDN) o implementaram na forma de uma lista branca de pontos de código cifrados ou algo semelhante - mas como o TLSv1.3 reformulou completamente a negociação do protocolo, mesmo o mais strong As cifras não correspondem mais à lista de permissões porque são negociadas usando diferentes pontos de código. Como resultado, o servidor o expulsa com um código de erro "segurança insuficiente".
$ nghttp -vn <url>
...
[ 0.153] recv GOAWAY frame <length=26, flags=0x00, stream_id=0>
(last_stream_id=0, error_code=INADEQUATE_SECURITY(0x0c), opaque_data(18)=[cipher is banned! ])
No entanto, parece que o Twitter desativou o TLSv1.3 bem no meio de escrever este post. Outros sites provavelmente corrigirão isso em breve.
Por enquanto, você também pode limitar o Firefox ao TLSv1.2 através do about: config.
Links relacionados: