В моей локальной среде Apache у меня есть сайт, для разработки которого требуется SSL, поэтому я использую самозаверяющий сертификат. До сих пор локальный сайт хорошо работал в Firefox и Chrome, но после обновления Firefox до версии 59 сегодня я не могу заставить его принять исключение безопасности (в Chrome самоподписанный сертификат продолжает работать).
Firefox дает мне эту дополнительную информацию на заблокированной странице:
... использует недействительный сертификат безопасности. Сертификат не является доверенным, потому что он самоподписан. Код ошибки: SEC_ERROR_UNKNOWN_ISSUER
Здесь нет возможности разрешить исключение, как это было раньше, но я перешел к настройкам Firefox в разделе «Сертификаты», затем на вкладке «Сервер» я добавил исключение для локального домена. Сертификат затем будет указан в правильном имени локального сервера, в деталях указаны параметры моего сертификата, выданные и выданные одинаковыми с допустимым периодом времени.
Кто-нибудь испытывает подобные проблемы с FF 59 или может иметь представление, что попытаться заставить самозаверяющий сертификат снова работать локально?
Редактировать: я не вижу никаких упоминаний об этом в примечаниях к выпуску FF 59, но что-то в новой версии заставляет все мои локальные виртуальные хосты на доменах * .dev автоматически пытаться установить соединение https (то есть все http запросы на * .dev автоматически отправляются на https URL). Возможно, что-то в этом поведении также является причиной этих проблем для моих реальных виртуальных хостов https.
источник
Ответы:
Я до сих пор не совсем понимаю, как все это точно совмещается, но, как указано в этом ответе,
.dev
домены теперь являются официальными TLD. Таким образом, кажется, что браузеры вызывают некоторое поведение HSTS и устанавливают соединения https. Для этих TLD кажется, что мой самоподписанный сертификат больше не был принят в Firefox. Изменение виртуальных хостов на использование.test
решило проблему без необходимости что-либо менять в моих самозаверяющих сертификатах.Стоит отметить, что в Firefox мои виртуальные хосты, не использующие SSL, также работали с сегодняшней версии 59, поскольку поведение HSTS, по-видимому, заставляло SSL работать на виртуальных хостах, которые я не настроил для обслуживания через SSL. В Chrome это все еще работало, но в любом случае можно с уверенностью сказать, что отход от официально используемого теперь
.dev
TLD решит многие головные боли.источник
.dev
это действительный домен верхнего уровня, так что НЕ используйте его для обозначения своих внутренних ресурсов. То же самое для любого другого имени: не используйте имя, которое, по вашему мнению, больше не будет использовать никто. Либо используйте тестовые имена, указанные в RFC2606, либо просто зарегистрируйте истинное доменное имя в любом месте и используйте субдомен, подобныйint.example.com
илиdev.example.com
суффикс всех ваших внутренних имен. Тогда у вас никогда не возникнет коллизий или проблем (если вы помните о необходимости продления доменного имени каждый год!).dev
доменах. Если вы не знаете, что это TLD, вы не сможете сделать вывод, что это проблема.Существует простой способ обойти это.
about:config
false
.ВНИМАНИЕ: Это полностью отключит HSTS . Посмотрите на комментарии к этому ответу, чтобы обсудить недостатки этого метода. Я лично считаю, что выгода перевешивает риск, но вы несете ответственность за свою безопасность.
источник
.dev
проекты в конечном итоге будут перенесены в другой суффикс TLD, но пока это помогает не остановить местное развитие.Установка
security.enterprise_roots.enabled
дляtrue
наabout:config
странице решить это для меня и позволило моей самостоятельно подписанный сертификат на работу в процессе разработки.Здесь обсуждаются некоторые достоинства этой возможности по умолчанию:
установите для security.enterprise_roots.enabled значение true по умолчанию .
Хотя этот флаг предназначен для того, чтобы позволить Firefox использовать корневое хранилище ЦС в масштабе всей машины в качестве допустимого источника для центров сертификации, это исправило ситуацию для моего собственного случая использования, когда у меня есть самозаверяющий многодоменный сертификат, который я использую локально для тестирования (subjectAltName's) . Даже после того, как я добавил сертификат в список сертификатов Firefox, до тех пор, пока я не включил его, он разрешил загрузку локального сайта.
источник
Была такая же проблема в веб-браузере василиска . Я пытался изменить настройки сетевого прокси или изменить флаги «network.stricttransportsecurity.preloadlist» или «security.enterprise_roots.enabled» ... но не удалось найти отсутствующую кнопку для добавления сертификата для заблокированного веб-сайта. Только это сделало это:
about:support
.Open Directory
на ваш профиль браузера.источник
Я пошел на «Давайте шифровать»
Действителен только в течение 3 месяцев, но обновление может быть автоматизировано.
Как видно из замечаний, здесь есть одна загвоздка. Наши области разработки и тестирования называются dev-www.example.com и test-www.example.com. Мы используем подстановочный сертификат с производства.
источник