Mozilla 下载始终签名。在 Windows 上，右键单击下载的文件并转到“数字签名”选项卡。在那里你可以看到签名（应该是“Mozilla Corporation”）以及它是否有效。当您从 Web 下载此文件后尝试执行此文件时，无论如何您都会收到警告，并且您也会在那里看到签名。

我不确定在 OS X 上执行相同操作的特定步骤，但我知道 .dmg 文件也已签名，并且操作系统可以为您验证签名。

很高兴你问到 Firefox，因为他们做了一些时髦的事情。

我可以建议三种验证下载的方法：

• 最简单的方法是确保您通过 HTTPS 下载它，并从信誉良好且您信任的站点下载。（不是镜像站点。）
• 下一个最简单的方法是检查安装程序上的签名。有些地方会在安装程序上签名，您可以按照 Wladimir Palant 的建议检查签名，并检查它是否由您期望的组织签名。
• 最难的方法是从可信来源单独获取正确文件的哈希校验和，然后检查您下载的内容的哈希是否与已知良好的哈希校验和匹配。但是你不得不问：我们如何确保我们得到正确的哈希？为此，请参阅上面的答案：您可以通过 HTTPS 从可信的、有信誉的来源下载它，或者您获得一个签名版本，然后以某种方式验证它是否由正确的密钥签名。

所有这些方法都有很大的缺陷。通过 HTTPS 下载时，您必须确保您没有接触到某些将您带回 HTTP 的重定向链。检查签名时，您必须确保签名者与您期望的人匹配并且组织名称正确。获取哈希值时，必须确保哈希值是可信的，否则就是浪费时间。

事实证明，Firefox 的发布系统使得下载已知良好的 Firefox 版本变得特别棘手。有关详细信息，请参阅此博客文章。在本质上：

• 如果您已经安装了 Firefox，并且使用了自动更新过程，那么 Firefox 会提供强大的保护，以确保您获得更新后的二进制文件的有效副本。它通过 HTTP 从镜像站点下载二进制文件，但它还通过 HTTPS 直接从 Mozilla 下载正确的哈希，并在使用下载之前检查它们是否匹配。因此，使用 Mozilla 的内置更新过程是一种很好、安全的方法。

• 如果您手动下载 Firefox，那么祝您好运。验证下载非常棘手。当您单击下载时，它们会自动将您重定向到 HTTP 上的镜像站点，因此您没有 HTTPS 的保护。似乎没有任何方法可以通过 HTTPS 直接从 Mozilla 下载 Firefox 二进制文件。幸运的是，您可以在此处通过 HTTPS 下载所有文件的哈希值：https : //ftp.mozilla.org/pub/mozilla.org/firefox/releases/ 祝您好运，无需通过 HTTP 即可自行找到该 URL；这是一个真正的痛苦。Firefox 的软件分发过程的这一方面可能需要一些改进。

它们有点难找，但 Mozilla 提供了当前 firefox 发行版中所有文件的哈希值：

https://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

请注意，您可以使用相同的 URL 直接从 mozilla 本身下载 firefox，完全绕过镜像。