我在Ubuntu上使用Firefox 59.0.1,在访问自签名SSL证书背后的开发环境时,我发现以下错误。
您的连接不安全
crmpicco.dev的所有者未正确配置他们的网站。至 保护您的信息不被窃取,Firefox没有连接 到这个网站。
此站点使用HTTP严格传输安全性(HSTS)来指定 Firefox可能只能安全地连接到它。结果,事实并非如此 可以为此证书添加例外。
了解详情...
报告此类错误,以帮助Mozilla识别并阻止恶意攻击 网站
crmpicco.dev使用无效的安全证书。
证书不受信任,因为它是自签名的。
错误代码:SEC_ERROR_UNKNOWN_ISSUER
我已将“crmpicco.dev”添加到security.tls.insecure_fallback_hosts并将security.enterprise_roots.enabled设置为true,重新启动Firefox但这没有效果。
我知道Chrome有他们的“badidea”/“thisisnotsafe”解决方法,我知道它并不理想,但它至少有效 - 而我还没有找到Firefox等效的。
这是什么解决方案?我是否需要生成新的自签名证书,即使我的证书来自2018年2月。
我在这里尝试了很多问题,Mozilla的支持没有效果。
答案 0 :(得分:4)
顶级域名* .dev为owned by Google。对于some time already,Chrome中已预先配置了HSTS策略,因此无法为此域使用自签名证书。 Firefox最近也添加了这样的策略,因此您现在可以获得相同的行为。
有几种方法可以解决这个问题。最好的方法是不要将任何当前公共或未来的公共顶级域名用于您的私人目的。通过使用此类域,您可能会与域所有者强制执行的使用策略发生冲突,例如在* .dev的情况下强制执行HSTS。此外,它甚至可能导致security problems。而是使用您实际拥有的域或使用保留供内部和测试使用的顶级域,如* .test,* .invalid或* .example。
如果你真的想在内部使用* .dev(再次,坏主意)你可以遵循这个域的策略:不要使用自签名证书,而是使用由受信任的CA颁发的证书你的浏览器。这意味着创建您自己的CA,将其添加为受信任的浏览器,然后颁发此CA所需的证书。但同样,使用您不拥有的公共域(无论是否为顶级域名)都是收据。