Il weekend di passione di Firefox (hotfix-update-xpi-signing-intermediate-bug-1548973) (Aggiornato)

Gioxx  —  06/05/2019 — Leave a comment

Così qualcuno potrebbe definirlo in effetti. Avrei voluto parlartene sabato ma ero in giro per cercare di concludere quante più commissioni personali possibili, per poi passare a una domenica tra MotoGP e ultimo giorno di mostra di Real Bodies a Milano (davvero molto bella, nda). Trovo quindi un attimo in questa conclusione della prima domenica di maggio per riepilogare quanto accaduto nelle scorse ore a tutti i Firefox installati nel mondo, in particolare ai componenti aggiuntivi diventati tutti d’un tratto inutilizzabili.

Il weekend di passione di Firefox

Cos’è accaduto

Era una notte buia e tempestosa Buona parte di quanto accaduto e relativi aggiornamenti sono stati raccontati dal team di Mozilla stesso all’interno di un articolo in costante aggiornamento, disponibile all’indirizzo blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox:

Late on Friday May 3rd, we became aware of an issue with Firefox that prevented existing and new add-ons from running or being installed. We are very sorry for the inconvenience caused to people who use Firefox.

Our team has identified and rolled-out a fix for all Firefox Desktop users on Release, Beta and Nightly. The fix will be automatically applied in the background within the next few hours. No active steps need to be taken to make add-ons work again. In particular, please do not delete and/or re-install any add-ons as an attempt to fix the issue. Deleting an add-on removes any data associated with it, where disabling and re-enabling does not.

Please note: The fix does not apply to Firefox ESR or Firefox for Android. We’re working on releasing a fix for both, and will provide updates here and on social media.

Te la riassumo in maniera semplice e ti ci aggiungo un dettaglio chiave: a causa di un certificato scaduto tutti i componenti aggiuntivi di Firefox sono stati considerati non sicuri e non validi per l’uso (se già a bordo del tuo profilo) o installati (per chi stava effettuando nuove installazioni da AMO). Tutto è stato raccolto e chiaramente classificato sotto Bugzilla, più precisamente qui:

Nulla di meglio per cominciare bene il fine settimana. Sul forum di Mozilla è stato pressoché contestualmente pubblicato un thread per mettere a disposizione degli utenti gli aggiornamenti del caso. La discussione ha già subito diversi aggiornamenti ed è tutt’ora disponibile all’indirizzo discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047, tornato operativo dopo ore di down dovute al carico di lavoro che il server ha dovuto sopportare per ospitare tutti coloro che stavano andando giustamente a lamentare questa grave anomalia. La correzione è stata già rilasciata per i 3 rami principali di prodotto (Firefox stabile, Beta e Nightly), tenendo fuori dai giochi la versione ESR e quella Android, per le quali seguiranno ulteriori aggiornamenti a mezzo Social Account di Mozilla (@mozamo su tutti, ma ti consiglio di tenere d’occhio anche @firefox).

Porre rimedio

Ciò che devi fare non è disinstallare e provare a reinstallare i componenti aggiuntivi, perché così andresti a perdere le loro impostazioni precedentemente configurate ed eventuali altri dati non salvati. Puoi al massimo disattivarli e riattivarli assicurandoti che tutto torni a funzionare, ammesso che però ti sia già arrivata la correzione per mezzo degli studi di Firefox. Se non sai di cosa si tratta vai nelle Preferenze di Firefox → Privacy e Sicurezza (about:preferences#privacy) → Consenti a Firefox di installare e condurre studi (lo screenshot di seguito è catturato dal mio Nightly, ma poco cambia):

Il weekend di passione di Firefox 1

Il sistema di studio di Firefox è probabilmente stato il metodo più rapido e indolore per sottoporre a tutti gli utenti la cura adatta a risolvere l’anomalia, permettendo ai componenti aggiuntivi di tornare a funzionare come nulla fosse mai accaduto, fermo restando che in futuro Mozilla ha già espresso la volontà di utilizzare metodi alternativi per porre rimedio più rapidamente e in differente modalità, poiché non tutti hanno quell’opzione attiva (per scelta, cosa più che lecita).

Vuoi controllare se questo studio (hotfix-update-xpi-signing-intermediate-bug-1548973) è già attivo sul tuo Firefox? Digita nella barra dell’URL about:studies e premi invio. Il risultato dovrebbe essere simile a questo:

Il weekend di passione di Firefox 2

Questo è il mio Nightly installato su macOS 10.14

Il weekend di passione di Firefox (hotfix-update-xpi-signing-intermediate-bug-1548973)

Questo invece è il mio Nightly installato su Windows 10 1809

Se lo studio è stato installato e i componenti aggiuntivi sono tornati a funzionare (in autonomia o dopo aver fatto il gioco del disattiva-riattiva) puoi scegliere di disabilitare nuovamente questa possibilità (installazione automatica degli studi, nda) ritoccando nuovamente le preferenze di Firefox.

In alcuni casi ciò non basta, il consiglio è quello di mettere mano all’about:config per modificare un parametro che “stimola” gli studi a cercarne di nuovi con più velocità. Più precisamente:

  • Spostati in about:config (digitalo nella barra dell’URL e premi invio) e accetta i rischi.
  • Cerca la voce app.normandy.run_interval_seconds e impostala a valore 1, così facendo dovresti accelerare i tempi di ricerca e installazione dello studio. Ricorda – una volta arrivato ciò che aspetti – di riportare la voce al valore predefinito (nel mio caso è ).

Il weekend di passione di Firefox 4

  • Riavvia ora Firefox. Attendi ora che i componenti aggiuntivi tornino disponibili autonomamente.

Vuoi un’ulteriore alternativa? Scarica il file XPI di correzione direttamente dall’URL storage.googleapis.com/moz-fx-normandy-prod-addons/extensions/hotfix-update-xpi-intermediate%40mozilla.com-1.0.2-signed.xpi e installalo manualmente nel tuo Firefox (ne ho salvato una copia nel mio spazio Mega).

La procedura ufficiale di risoluzione è stata tempestivamente localizzata in italiano dai colleghi di Mozilla Italia, puoi trovarla all’indirizzo support.mozilla.org/it/kb/impossibile-installare-componenti-aggiuntivi-firefox.

Quindi è tutto finito?

No, non ancora. Ci sono lamentele e problemi non rientrati (anche se avrebbero dovuto), bug ancora aperti (bugzilla.mozilla.org/show_bug.cgi?id=1549075 e bugzilla.mozilla.org/show_bug.cgi?id=1549078) e un blocco nei rilasci delle versioni Nightly fino a nuovo ordine:

È evidente che questo non sia stato un buon fine settimana per chi siede dall’altro lato della barricata e ci offre quotidianamente la possibilità di navigare in un web più libero e sicuro, rischiando addirittura di oscurare tutto ciò che di più buono è stato fatto nelle scorse settimane (e non sarebbe davvero giusto). Gli errori capitano a tutti, forse anche quelli più stupidi e che non ti aspetteresti. Gli utenti colpiti sono stati tanti e hanno incluso anche progetti collaterali (come Tor Browser: twitter.com/torproject/status/1124742610793504769), ma i problemi sono fatti per essere generalmente risolti.

Ciò che tu puoi e devi fare è controllare che sul tuo Firefox funzioni correttamente e diffondere la voce, il panico generale non aiuta nessuno così come le ciarlanerie riguardanti cospirazioni e altre stronzate simili (passami il francesismo d’occasione), evidentemente riportate per colpire coloro che hanno meno esperienza e sangue freddo dietro la tastiera. Il work-around per le installazioni non stabili esiste (è sempre esistito tra l’altro) ma è anche altamente sconsigliato perché va a eliminare proprio il controllo di validità di un componente aggiuntivo (la sua firma) in fase di installazione. Io te lo propongo qui di seguito, funzionerà solo su versioni Beta o Nightly (quindi non stabili) ma sono davvero il primo a dirti di non prendere questa strada, rischi di dimenticarti di ciò che hai modificato e di lasciare tutto così, permettendo a componenti aggiuntivi di terza parte non verificata di installarsi nel tuo browser.

Work-around tramite about:config

  • Spostati in about:config (digitalo nella barra dell’URL e premi invio) e accetta i rischi.
  • Cerca la voce xpinstall.signatures.required e portala a false.

Il weekend di passione di Firefox 3

Questo ha appena disabilitato quello strato di sicurezza in più che hai sempre a disposizione e che verifica la bontà di un componente aggiuntivo in fase di installazione. Ti prego, se deciderai di eseguire questa modifica al tuo profilo, di rimetterla poi a posto non appena il tuo Firefox sarà patchato (tipo già ora secondo me).

In conclusione

C’è poco da aggiungere. Tutto è stato già discusso e corretto, io resto a disposizione in caso di dubbi o ulteriori informazioni, manco a dirlo il forum di Mozilla Italia è stato preso d’assalto, puoi partecipare alla discussione puntando il browser all’indirizzo forum.mozillaitalia.org/index.php?topic=72523.0 (c’è anche una seconda discussione dedicata a chi ha risolto il problema e/o trovato soluzioni alternative, la puoi trovare all’indirizzo forum.mozillaitalia.org/index.php?topic=72531).

15/5/19

I vari thread del forum di Mozilla Italia sono stati chiusi o uniti per cercare di tenere l’argomento (domande, dubbi e commenti) sotto un unico tetto, trovi quindi la soluzione definitiva al problema all’indirizzo forum.mozillaitalia.org/index.php?topic=72534.0. Grazie Simo per l’aggiornamento dal fronte di guerra 😏😁

Buon inizio settimana.

Condividi l'articolo con i tuoi contatti: