crm*_*cco 4 ssl firefox self-signed hsts
我在 Ubuntu 上使用 Firefox 59.0.1,在访问我的开发环境时看到以下错误,该环境位于自签名 SSL 证书后面。
您的连接不安全
crmpicco.dev 的所有者错误地配置了他们的网站。为保护您的信息不被盗用,Firefox 未连接到本网站。
该站点使用 HTTP 严格传输安全 (HSTS) 来指定 Firefox 只能安全地连接到它。因此,无法为此证书添加例外。
了解更多…
报告此类错误以帮助 Mozilla 识别和阻止恶意站点
crmpicco.dev 使用无效的安全证书。
该证书不受信任,因为它是自签名的。
错误代码:SEC_ERROR_UNKNOWN_ISSUER
我已将“crmpicco.dev”添加到 security.tls.insecure_fallback_hosts 并将 security.enterprise_roots.enabled 设置为 true,重新启动 Firefox 但这没有任何效果。
我知道 Chrome 有他们的 "badidea"/"thisisnotsafe" 解决方法,我知道这并不理想,但它至少有效 - 而我还没有找到与 Firefox 等效的方法。
解决这个问题的方法是什么?即使我拥有的证书是 2018 年 2 月的,我是否需要生成新的自签名证书。
我在这里尝试了许多问题并且 Mozilla 支持没有效果。
顶级域 *.dev归 Google 所有。对于一段时间已经出现了预先配置HSTS政策在Chrome这使得它不可能使用自签名证书此域。Firefox 最近也添加了这样的策略,因此您现在可以获得相同的行为。
有几种方法可以解决这个问题。最好的方法是不要将任何当前公共或未来公共顶级域用于您的私人目的。通过使用此类域,您可能会与域所有者强制执行的使用策略发生冲突,例如在 *.dev 的情况下强制执行 HSTS。此外,它甚至可能导致安全问题。而是使用您实际拥有的域或使用保留供内部和测试使用的顶级域,例如 *.test、*.invalid 或 *.example。
如果您真的想在内部使用 *.dev(再次,坏主意),您可以按照此域的策略来实现:不要使用自签名证书,而是使用由您的浏览器信任的 CA 颁发的证书。这意味着创建您自己的 CA,将其添加为受信任的浏览器,然后由该 CA 颁发您想要的证书。但同样,使用您不拥有的公共域(无论是否顶级)都是麻烦的收据。
| 归档时间: |
|
| 查看次数: |
1555 次 |
| 最近记录: |