Μετά τη λήψη ενός πακέτου εγκατάστασης από τον ιστότοπο thunderbird.net ή απευθείας από την αρχειοθήκη εκδόσεων του Thunderbird, μπορείτε να επαληθεύσετε εάν η λήψη ολοκληρώθηκε σωστά και, προαιρετικά, εάν πρόκειται για ένα αυθεντικό πακέτο από τη Mozilla.

Για κάθε έκδοση, μπορείτε να βρείτε έναν φάκελο ρίζας, ο οποίος περιέχει ξεχωριστούς υποκαταλόγους για κάθε λειτουργικό σύστημα, οι οποίοι περιλαμβάνουν αρχεία πακέτων εγκατάστασης. Στον φάκελο ρίζας μιας συγκεκριμένης έκδοσης, θα βρείτε επίσης ένα αρχείο κειμένου με το όνομα SHA256SUMS.

Επαλήθευση επιτυχούς λήψης του πακέτου εγκατάστασης

Για να κάνετε την επαλήθευση, θα πρέπει να ακολουθήσετε τα παρακάτω βήματα:

1. Επιλέξτε και κάντε λήψη του πακέτου εγκατάστασής σας, ανάλογα με το λειτουργικό σύστημα και τη γλώσσα σας.
2. Χρησιμοποιήστε ένα εργαλείο για να υπολογίσετε το hashsum SHA256 (που είναι ένα είδος checksum) για το ληφθέν αρχείο και διατηρήστε το στην οθόνη σας για να κάνετε τη σύγκριση.
3. Στο πρόγραμμα περιήγησής σας, επιστρέψτε στον φάκελο ρίζας (για παράδειγμα, στο https://archive.mozilla.org/pub/thund.../128.5.0esr/) και ανοίξτε το αρχείο SHA256 που αντιστοιχεί στην έκδοση της επιλογής σας.
4. Βρείτε τη γραμμή που περιέχει τη γλώσσα και το όνομα του αρχείου που αποθηκεύσατε. Στην ίδια γραμμή, θα αναγράφεται το αναμενόμενο hashsum για το αρχείο. Βεβαιωθείτε ότι αυτό το hashsum ταιριάζει με το αποτέλεσμα που λάβατε από το εργαλείο που χρησιμοποιήσατε για τον υπολογισμό του hashsum SHA256.

Αν κάνετε προβολή του αρχείου SHA256SUM με μια πρόσφατη έκδοση του Firefox, στον ιστότοπο https://archive.mozilla.org, και τα hashsum ταιριάζουν, το πιο πιθανό είναι ότι η λήψη σας είναι σωστή και αυθεντική.

Επαλήθευση αυθεντικότητας του ληφθέντος αρχείου (προαιρετικό)

Εάν θέλετε επίσης να επαληθεύσετε ότι βλέπετε το σωστό αρχείο SHA256SUMS επειδή, για παράδειγμα, έχετε κάνει λήψη αυτών των αρχείων από κάποιον εναλλακτικό σύνδεσμο (mirror), μπορείτε να ελέγξετε εάν το αρχείο φέρει την ψηφιακή υπογραφή της ομάδας διάθεσης λογισμικού της Mozilla. Ακολουθήστε αυτά τα βήματα για να επαληθεύσετε το ληφθέν αρχείο:

1. Κάντε λήψη των αρχείων SHA256SUMS και SHA256SUMS.asc.
2. Για να ελέγξετε την υπογραφή, μπορείτε να χρησιμοποιήσετε το λογισμικό GnuPG. Θα πρέπει επίσης να αποκτήσετε το πιο πρόσφατο, επίσημο δημόσιο κλειδί της Mozilla που έχει χρησιμοποιηθεί για την υπογραφή αυτού του αρχείου.
   • Το λογισμικό GnuPG χρησιμοποιείται περιλαμβάνεται συνήθως στις διανομές Linux. Για άλλα λειτουργικά συστήματα, μπορείτε να βρείτε έγγραφα με οδηγίες που περιγράφουν πώς να εγκαταστήσετε και να χρησιμοποιήσετε το GPG4WIN για Windows ή το GPGTools για macOS.
   • Χρησιμοποιήστε το GnuPG ή κάποιο παρόμοιο λογισμικό για να εισαγάγετε το δημόσιο κλειδί της Mozilla, το οποίο ανακοινώνεται συνήθως στο ιστολόγιο ασφαλείας της. Τη στιγμή της σύνταξης του παρόντος εγγράφου, η πιο πρόσφατη έκδοση βρίσκεται σε αυτήν την ανάρτηση του ιστολογίου ασφαλείας της Mozilla.
3. Τώρα, εισαγάγετε την παρακάτω εντολή στο GnuPG για να συγκρίνετε την υπογραφή στο αρχείο SHA256SUMS.asc με τα δεδομένα του αρχείου SHA256SUMS:
   $ gpg --verify SHA256SUMS.asc
   
4. Θα λάβετε τα αποτελέσματα της σύγκρισης. Σε αυτό το παράδειγμα, υπάρχουν 8 γραμμές εξόδου:

gpg: assuming signed data in 'SHA256SUMS

gpg: Signature made Di 26 Sep 2023 20:49:02 CEST

gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274

gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353

Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274

Οι γραμμές 7 και 8 δηλώνουν ποιο κλειδί χρησιμοποιήθηκε για τη δημιουργία της ψηφιακής υπογραφής. Μπορείτε να συγκρίνετε τα αποτυπώματα που εμφανίζονται σε αυτές τις γραμμές με το αποτύπωμα που αναγράφεται στην ανάρτηση του ιστολογίου ασφαλείας του Mozilla. Εάν ταιριάζουν, έχετε επαληθεύσει επιτυχώς το αρχείο SHA256SUMS.