10

В моей локальной среде Apache у меня есть сайт, для разработки которого требуется SSL, поэтому я использую самозаверяющий сертификат. До сих пор локальный сайт хорошо работал в Firefox и Chrome, но после обновления Firefox до версии 59 сегодня я не могу заставить его принять исключение безопасности (в Chrome самоподписанный сертификат продолжает работать).

Firefox дает мне эту дополнительную информацию на заблокированной странице:

... использует недействительный сертификат безопасности. Сертификат не является доверенным, потому что он самоподписан. Код ошибки: SEC_ERROR_UNKNOWN_ISSUER

Здесь нет возможности разрешить исключение, как раньше, но я перешел к настройкам Firefox в разделе "Сертификаты", затем на вкладке "Сервер" я добавил исключение для локального домена. Затем сертификат будет указан в правильном имени локального сервера, в деталях указаны параметры моего сертификата, выданные и выданные одинаковыми с допустимым периодом времени.

Кто-нибудь испытывает подобные проблемы с FF 59 или может иметь представление, что попытаться заставить самозаверяющий сертификат снова работать локально?

Редактировать: я не вижу упоминаний об этом в примечаниях к выпуску FF 59, но что-то в новой версии заставляет все мои локальные виртуальные хосты на доменах * .dev автоматически пытаться установить соединение https (то есть все http запросы на * .dev автоматически отправляются на https URL). Возможно, что-то в этом поведении также является причиной этих проблем для моих реальных виртуальных хостов https.

|источник

3 ответа3

10

Существует простой способ обойти это.

  1. Перейти к about:config
  2. Поиск "network.stricttransportsecurity.preloadlist".
  3. Установите это в false .

ВНИМАНИЕ: Это полностью отключит HSTS. Взгляните на комментарии к этому ответу, чтобы обсудить недостатки этого метода. Я лично считаю, что выгода перевешивает риск, но вы несете ответственность за свою безопасность.

|источник
9

Мне все еще не совсем ясно, как все это точно совмещается , но, как указано в этом ответе, домены .dev теперь являются официальными TLD. Таким образом, кажется, что браузеры вызывают некоторое поведение HSTS и устанавливают соединения https. Похоже, что для этих TLD мой самозаверяющий сертификат больше не был принят в Firefox. Изменение моих виртуальных хостов для использования .test решило проблему без необходимости что-либо менять в моих самозаверяющих сертификатах.

Стоит отметить, что в Firefox мои виртуальные хосты, не поддерживающие SSL, также работали с сегодняшней версии 59, поскольку поведение HSTS, по-видимому, заставляло SSL работать на виртуальных хостах, которые я не настроил для обслуживания через SSL. В Chrome это все еще работало, но в любом случае можно с уверенностью сказать, что отход от теперь официально используемого домена верхнего уровня .dev решит многие проблемы.

|источник
-3

Я пошел на «Давайте шифровать»

https://letsencrypt.org/

Действителен только в течение 3 месяцев, но обновление может быть автоматизировано.

Как видно из замечаний, здесь есть одна загвоздка. Наши области разработки и тестирования называются dev-www.example.com и test-www.example.com. Мы используем подстановочный сертификат с производства.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .