从 thunderbird.net 网站 下载安装包,或直接从 软件存档网站 下载后,可验证下载是否已正确完成,并可选择验证安装包是否真实来自 Mozilla。
每个发布版本都对应一个根文件夹,其中包含分别适用于各操作系统的子目录,子目录下存放着安装包文件。在具体发布版本的根文件夹中,有一个名为 SHA256SUMS 的文本文件。
若要进行此验证,请按照以下步骤操作:
- 根据自己的操作系统和语言,选择并下载安装包。
- 通过工具计算所下载文件的 SHA256 散列值(校验和的一种),并将其留在屏幕上,用作对比。
- 返回浏览器,查看所下载的发布版本文件的 SHA256。
- 找到包含所下载文件的语言和名称的行,同一行中会显示预期的文件散列值。请确认此散列值与通过工具计算出的 SHA256 散列值一致。
若通过新近版本的 Firefox 查看文件 SHA256SUM,且是在 https://archive.mozilla.org 网站上查看,同时散列值也一致,那么此下载大概率正确而真实。
若还需确认自己正查看正确的 SHA256SUMS 文件(例如有时这些文件是从镜像站下载得来,因而未必可信),则可检查文件是否具备 Mozilla 软件发布团队的数字签名。
请下载以下两个文件:SHA256SUMS 和 SHA256SUMS.asc
可以使用 GnuPG 软件来校验签名,另外还需获取 Mozilla 用于给此文件签名的最新官方公钥。
Linux 发行版通常自带 GnuPG 软件。对于其他操作系统,则需自行查找介绍 GPG4WIN(适用于 Windows)或 GPGTools(适用于 macOS)的安装和使用方法的入门文档。
使用 GnuPG 或类似软件导入 Mozilla 的公钥(通常公布于 Mozilla 安全博客)。在编写本文档时,最新版本可于此处获取: https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases/
接下来通过以下命令,使用 GnuPG 经由 SHA256SUMS 文件中的数据对 SHA256SUMS.asc 文件中的签名进行校验:
$ gpg --verify SHA256SUMS.asc gpg: assuming signed data in 'SHA256SUMS' gpg: Signature made Di 26 Sep 2023 20:49:02 CEST gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274 gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353 Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274
以上示例一共会产生 8 行输出。
第 7 行等将显示用于创建此数字签名的密钥。请将显示在这几行中的指纹与 Mozilla 安全博客帖子上公布的指纹对比,若一致,则说明已成功验证 SHA256SUMS 文件。