Eu percebi isso! O problema foi meu openssl.cnf
. O certificado antigo foi criado com string_mask = utf8only
. Esta linha estava faltando no meu arquivo atual, resultando em um valor padrão de PrintableString, T61String, BMPString
. Eu não usei nenhum caractere não-ASCII, mas parece que ainda é suficiente para irritar o Firefox.