今天，我们宣布 Firefox 38 将采取进一步措施，通过移除 WebRTC 中对不支持前向保密的所有 DTLS 密码套件的支持来保护用户的通信安全。对于开发者来说，如果您拥有不支持 PFS 密码套件的 WebRTC 应用程序或服务器，您将需要更新您的代码。

前向保密，也称为 完美前向保密 (PFS)，是加密协议的一个特性，它限制了密钥泄露造成的损害：“这意味着一个 [会话] 的泄露不会导致其他会话的泄露，并且不存在一个单独的秘密值会导致多个 [会话] 的泄露”。

TLS 和 DTLS 中的 PFS 套件使用短暂的 Diffie-Hellman 密钥交换 (DHE) 或椭圆曲线 Diffie-Hellman (ECDHE) 为每个会话创建不同的共享密钥。 WebRTC 安全架构 建议首选 PFS 套件用于 WebRTC。

由于 bug 102794，Firefox 无法充当 DHE 密码套件的服务器。我们计划添加完整的 DHE 支持，但在那之前，我们建议使用 ECDHE 密码套件。

正在使用 webrtc.org 代码库 的现有用户，如果使用的是 OpenSSL 及其衍生物（如 BoringSSL），则需要更新以启用 ECDHE 密码套件。 此错误 包含更多详细信息。

如果您拥有不支持 PFS 密码套件的 WebRTC 应用程序或服务器，您应该尽快解决这个问题。Firefox 38 预计于 3 月 30 日的星期开始进入测试版，并计划在 5 月 12 日星期二发布正式版。