Como corrigir o Firefox 59 não mais aceitando meu certificado SSL autoassinado no virtualhost .dev

Navegue suas respostas
9

No meu ambiente Apache local, tenho um site que requer SSL para desenvolvimento, portanto, tenho usado um certificado auto-assinado. O site local funcionou bem no Firefox e no Chrome até agora, mas depois de atualizar o Firefox para a versão 59 hoje não consigo aceitar a exceção de segurança (no Chrome, o certificado autoassinado continua funcionando).

O Firefox me fornece essas informações adicionais na página bloqueada:

... uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER

Não há nenhuma opção para permitir a exceção aqui como costumava ser, mas eu fui para as Preferências do Firefox em Certificados e, em seguida, na guia "Servidor", adicionei uma exceção para o domínio local. O certificado é listado no nome correto do servidor local, os detalhes mostram minhas configurações de certificado de Emitido por e Emitido como sendo o mesmo, com um período de tempo válido.

Alguém experimentando problemas semelhantes com o FF 59 ou pode ter uma idéia do que tentar fazer com que o certificado auto-assinado funcione novamente localmente?

Editar: não vejo nenhuma menção a isso nas notas de lançamento do FF 59 mas algo na nova versão faz com que todos os meus hosts virtuais locais em domínios * .dev tentem automaticamente estabelecer uma conexão https (ou seja, todas as solicitações http para * .dev são enviadas automaticamente para o URL https). Talvez algo sobre esse comportamento também seja o que está causando esses problemas para os hosts virtuais reais de https.

    
por kontur 14.03.2018 / 12:12

3 respostas

9

Ainda não estou totalmente claro em como isso tudo se encaixa exatamente, mas como apontado nesta resposta .dev domínios agora são TLDs oficiais. Assim, parece que os navegadores forçam algum tipo de comportamento de HSTS e forçam as conexões https. Para esses TLDs, parece que meu certificado auto-assinado não é mais aceito no Firefox. Alterar meus hosts virtuais para usar .test resolveu o problema sem ter que alterar nada em meus certificados autoassinados.

Vale a pena notar que no Firefox também meus hosts virtuais não-SSL agiram desde a versão 59 hoje, porque o comportamento do HSTS parecia forçar o SSL em hosts virtuais que eu não tinha configurado como servidor via SSL. No Chrome, isso ainda costumava funcionar, mas, de qualquer forma, é seguro dizer que se afastar do agora usado .dev TLD resolverá muitas dores de cabeça.

    
por 14.03.2018 / 22:42
7

Existe uma maneira fácil de contornar isso.

  1. Ir para about:config
  2. Procure por "network.stricttransportsecurity.preloadlist".
  3. Defina como false .

AVISO: Isso desativará totalmente o HSTS . Dê uma olhada nos comentários sobre esta resposta para alguma discussão sobre as desvantagens desse método. Eu pessoalmente acho que o benefício supera o risco, mas você é responsável pela sua própria segurança.

    
por 15.03.2018 / 13:27
-2

Eu fui para "Vamos Criptografar" 

https://letsencrypt.org/

válido apenas por 3 meses por vez, mas a atualização pode ser automatizada.

Como você pode ver nas observações, há um problema. Nossos domínios de desenvolvimento e teste são chamados dev-www.example.com e test-www.example.com. Usamos o certificado curinga da produção.

    
por 14.03.2018 / 12:20

Tags

Como um sistema operacional impede que um processo sem privilégios execute uma instrução privilegiada? Lança programas digitando seus nomes na caixa de diálogo 'executar' [duplicata]