Não é possível adicionar um certificado auto-assinado no Firefox

Question

Não é possível adicionar um certificado auto-assinado no Firefox

#1 resposta do (2 votos)

2

Eu preciso configurar um servidor da Web IIS que será acessado por um número pequeno e limitado de usuários. Eu estava pensando em usar apenas um certificado autoassinado e instalá-lo manualmente nos sistemas do usuário.

Então, gerei o certificado com as ferramentas do IIS, instalei-o no servidor da Web e o exportei em um arquivo .cer. Adicioná-lo às Autoridades Confiáveis nas configurações do Windows funciona bem com o Internet Explorer: ele remove o aviso não seguro.

No firefox, não consigo fazer isso funcionar. Ativar a opção security.enterprise_roots.enabled não ajuda. Nas configurações do certificado do Firefox, não consigo importá-lo para o painel Authorities. Recebo uma mensagem de erro:

This is not a certificate authority certificate, so it can't be imported into the certificate authority list

O que posso fazer? Eu não quero adicionar uma exceção no Firefox, uma vez que desativa permanentemente qualquer verificação de certificado no URL, o que significa que qualquer homem no meio do ataque se torna simples. Eu quero que o usuário seja bloqueado de acessar o site se o certificado for alterado no servidor.

firefox https certificate iis self-signed-certificate

por galinette 06.07.2018 / 14:48

1 resposta

Tags firefox https certificate iis self-signed-certificate

ntpd -q não lista nenhum servidor Como gerenciar o Python em um ambiente restrito?

score 2 · Answer 1

Para ser adicionado à lista de autoridades de certificação no Firefox, um certificado deve ter a extensão X509v3 CA:TRUE , por exemplo.

    X509v3 extensions:
        X509v3 Key Usage: critical
            Certificate Sign, CRL Sign
        X509v3 Basic Constraints: critical
            CA:TRUE

Este seria o caso se você tivesse seu próprio certificado de autoridade de certificação privado usado para assinar seus certificados de servidor: você poderia importá-lo e usá-lo para assinar todos os seus certificados de servidor privado, tornando-os confiáveis no navegador de uma só vez.

Com certificados auto-assinados, a solução mais simples é adicionar uma exceção. Atalho: chrome://pippki/content/exceptionDialog.xul . Isso faz uma exceção para este certificado sozinho. Você ainda receberá um aviso por certificado não confiável se o certificado for alterado.

Foi possível permitir que o Firefox confie em CAs do Windows desde o Firefox 49 ( Bug 1265113 . O parâmetro de configuração é security.enterprise_roots.enabled . Ele não será definido como true por padrão ( Bug 1314010 ), mas tendo isso como a preferência de configuração possibilita distribuí-la por meio da Diretiva de Grupo, o que a torna uma extensão perfeita para certificados de CA instalados via GPO.

Atualmente, por padrão, general.config.filename parece já definido como mozilla.cfg . Você só precisa adicionar essa linha ao arquivo (substitua-a usando a Diretiva de Grupo) %ProgramFiles%\Mozilla Firefox\Mozilla.cfg :

pref("security.enterprise_roots.enabled", true);

Para bloquear a configuração para que os usuários não possam modificá-la usando about:config , use lockPref() .