web-dev-qa-db-ja.com

Firefox 59が.dev virtualhostで自己署名付きのSSL証明書を受け入れないようにする方法

私のローカルのApache環境には、開発にSSLを必要とするサイトがあるので、私は自己署名証明書を使っています。ローカルサイトはこれまでFirefoxとChromeでうまく機能していたが、今日Firefoxをバージョン59にアップデートした後、セキュリティ例外を受け入れることができない(Chromeでは自己署名証明書は引き続き機能する)。

Firefoxでは、ブロックされたページにこの追加情報が表示されます。

...無効なセキュリティ証明書を使用しています。証明書は自己署名されているため信頼できません。エラーコード:SEC_ERROR_UNKNOWN_ISSUER

以前のようにここで例外を許可するオプションはありませんが、証明書の下のFirefoxの設定に行き、それから「サーバー」タブにローカルドメインの例外を追加しました。証明書は正しいローカルサーバー名にリストされ、詳細には、有効期限付きで、発行者と発行者の証明書の設定が同じであることが表示されます。

FF 59と同様の問題を抱えている人、または自己署名証明書をローカルで機能させるための手掛かりがあるかもしれません。

編集: FF 59リリースノート にはこれについての言及はありませんが、新しいバージョンのものでは*上のすべてのローカル仮想ホストが発生します。自動的にhttps接続を確立しようとするdevドメイン(つまり、*。devに対するすべてのhttpリクエストは自動的にhttps URLに送信されます)。この振る舞いについての何かが、私の実際のhttps仮想ホストにとってこれらの問題を引き起こしているのかもしれません。

sslssl-certificatefirefox
11
kontur

私はまだこれらすべてが正確にどのように一致するのかについて完全には明確ではないが、この答えで指摘されたように.devドメインは現在公式TLDです。そのため、ブラウザはある種のHSTS動作を強制し、https接続を強制するようです。これらのTLDについては、私の自己署名証明書はもはやFirefoxでは受け入れられませんでした。仮想ホストを.testに変更することで、自己署名証明書の内容をまったく変更することなく問題を解決しました。

Firefoxでは、今日のバージョン59以降、私の非SSL仮想ホストも動作しました。これは、HSTSの動作により、SSL経由でサービスを提供するように設定していない仮想ホストにSSLが強制されるようです。 Chromeではこれはまだ機能していましたが、どちらの方法でも現在正式に使用されている.dev TLDから移行することで多くの頭痛が解消されると言っても安全です。

9
kontur

これを回避する簡単な方法があります。

  1. about:configに行く
  2. "network.stricttransportsecurity.preloadlist"を検索してください。
  3. それをfalseに設定します。

警告:これはHSTSを完全に無効にします。この方法の欠点に関するいくつかの議論については、この回答に対するコメントを見てください。私は個人的に利益がリスクを上回ると思いますが、あなたはあなた自身の安全保障に対して責任があります。

enter image description here

10
Andy Mercer