Firefox 59 artık .dev sanal ana bilgisayarında kendinden imzalı SSL sertifikamı kabul etmiyor

20

Yerel Apache ortamımda geliştirme için SSL gerektiren bir sitem var, bu yüzden kendinden imzalı bir sertifika kullanıyorum. Yerel site şimdiye kadar Firefox ve Chrome'da iyi çalıştı, ancak Firefox'u bugün 59 sürümüne güncelledikten sonra güvenlik istisnasını kabul edemiyorum (Chrome'da kendinden imzalı sertifika çalışmaya devam ediyor).

Firefox bana engellenen sayfada bu ek bilgileri veriyor:

... geçersiz bir güvenlik sertifikası kullanıyor. Kendinden imzalı olduğu için sertifikaya güvenilmiyor. Hata kodu: SEC_ERROR_UNKNOWN_ISSUER

Burada olduğu gibi istisnaya izin verme seçeneği yoktur, ancak Sertifikalar altında Firefox Tercihlerine gittim, sonra "Sunucu" sekmesinde yerel etki alanı için bir istisna ekledim. Sertifika daha sonra doğru yerel sunucu adında listelenir, ayrıntılar, Tarafından verilen ve Aynı olarak verilen sertifika ayarlarımı geçerli bir zaman aralığıyla gösterir.

FF 59 ile benzer sorunlar yaşayan veya kendinden imzalı sertifikanın tekrar yerel olarak çalışmasını sağlamak için ne yapacağına dair bir ipucu olabilir mi?

Düzenleme: FF 59 sürüm notlarında bu herhangi bir söz görmüyorum ama yeni sürümde bir şey * .dev etki alanlarındaki tüm yerel sanal ana bilgisayarları otomatik olarak bir https bağlantısı (yani, tüm http * .dev istekleri otomatik olarak https URL'sine gönderilir). Belki de bu davranış hakkında bir şey de gerçek https sanal ana bilgisayarlar için bu sorunlara neden olan şeydir.

ssl  ssl-certificate  firefox 
kontur
kaynak
1
Tahminimce, artık kendinden imzalı bir sertifika için bir CA'ya ihtiyacınız var, çünkü Firefox son birkaç sürümde gereksinimleri yavaş yavaş sıkılaştırıyor. Ancak, Let's Encrypt ile artık kendinden imzalı sertifikaları kullanmak için hiçbir neden yoktur.
Simon Greenwood
Tahmin etmek istemiyorum ama bence @SimonGreenwood haklı. Ancak genellikle Firefox yeni seçenekleri varsayılan olarak ayarlar ve ayarları düzenlemenize izin verir. Gizlilik ayarlarınızı kontrol edin.
@Broco Güvenlik ayarlarında herhangi bir şey varsa, gizlilik ayarlarında değil. Yukarıda belirtildiği gibi, bir Güvenlik İstisnası bile ekledim, ancak Firefox hala sertifikayı doğrulayamama konusunda ısrar ediyor, çünkü belli ki ihraççı bilinmiyor.
kontur
@kontur benim için link: tercihler # gizlilik ve güvenlik ayarlarını ayarlamak için gizlilik, bu yüzden gizlilik dedim. Bir hata olarak yayınlamayı düşünün.
2
@SimonGreenwood Kullanmamak için yerel bir bağlantıda şifreleyelim. Biri kurmak istemez hadi hapsedelim.
Jon

Yanıtlar:

15

Bunların hepsinin tam olarak nasıl bir araya geldiğine hala tam olarak açık değilim, ancak bu cevap .dev alanlarında belirtildiği gibi artık resmi TLD'ler. Bu nedenle, tarayıcıların bir tür HSTS davranışını zorladığı ve https bağlantılarını zorladığı görülüyor. Bu TLD'ler için kendinden imzalı sertifikamın artık Firefox'ta kabul edilmediği anlaşılıyor. Sanal ana makinelerimi kullanacak .testşekilde değiştirmek, kendinden imzalı sertifikalarımdaki hiçbir şeyi değiştirmek zorunda kalmadan sorunu çözdü.

Firefox'ta da SSL olmayan sanal ana bilgisayarlarımın bugünkü 59 sürümünden beri davrandığını belirtmek gerekir, çünkü HSTS davranışı SSL üzerinden sunma olarak ayarlamadığım sanal ana bilgisayarlarda SSL'yi zorladı gibi görünüyordu. Chrome'da bu hala işe yarıyordu, ancak şu anda resmi olarak kullanılan .devTLD'den uzaklaşmanın birçok baş ağrısını çözeceğini söylemek güvenli .

kontur
kaynak
1
Evet, .devgeçerli bir TLD olduğundan bir süredir dahili kaynaklarınızı adlandırmak için KULLANMAYIN . Başka herhangi bir isim için aynı: başka hiç kimsenin kullanamayacağını düşündüğünüz herhangi bir isim kullanmayın. Ya RFC2606'da belirtilen test adlarını kullanın ya da herhangi bir yere gerçek bir etki alanı adı kaydedin ve tüm dahili adlarınızı eklemek için int.example.comya da gibi bir alt alan kullanın dev.example.com. Daha sonra hiçbir zaman çarpışma veya sorun yaşamayacaksınız (alan adını her yıl yenilemeyi unutmayın!)
Patrick Mevzek
2
Patrick Mevzek 15:18
1
Bağlantı için teşekkürler. Orada bahsedilen zaman çizelgeleri tam olarak aynı çizgide değil, ama belki yazar geliştirme önizlemeleri veya benzerlerinden bahsetti. Şimdi bildiklerim göz önüne alındığında, tarayıcı satıcılarının neden özellikle ek .devalanlardaki SSL hatası ile ilgili bazı ek hata ayıklama bilgileri eklemediklerini görmek gerçekten zor . Bir TLD olduğunu bilmediğiniz sürece sorun çıkarımda bulunma şansınız yoktur.
kontur
12

Bunun kolay bir yolu var.

  1. Adresine git about:config
  2. "Network.stricttransportsecurity.preloadlist" ifadesini arayın.
  3. Olarak ayarlayın false.

UYARI: Bu, HSTS'yi tamamen devre dışı bırakır . Bu yöntemin dezavantajları hakkında bazı tartışmalar için bu cevabın yorumlarına bir göz atın. Şahsen yararın riske ağır bastığını düşünüyorum, ancak kendi güvenliğinizden siz sorumlusunuz.

resim açıklamasını buraya girin

Andy Mercer
kaynak
4
Bu ayar yalnızca kendi web sitenize değil, ziyaret ettiğiniz tüm web sitelerine de uygulanacağı için çok kötü bir fikirdir. Güvenliğinizi düşürüyorsunuz.
Patrick Mevzek
Katılmıyorum. HSTS nispeten yenidir. Son 20 yıldır onsuz iyiyiz, bu yüzden güvenlik için devre dışı bırakmanın çok kötü olduğunu söylemek abartılı. İkincisi, kötü bir fikir olsa bile, geliştirme sunucularımın çalışmaya devam etmesini istiyorsanız, geliştirme ortamımda gerçekten uzun değişiklikler gerektirmeyen başka bir seçenek yoktur.
Andy Mercer
1
Bunun gibi bir çözüm: security.stackexchange.com/a/154176 , hepsini değil, en az bir siteyi etkiler.
Patrick Mevzek
1
Bildiğim kadar küçümseyici gibi göründüğünden, yaşlandıkça "en iyi uygulama" ve "yanlış" gibi şeylerin esnek ve zaman içinde değiştiğini fark edeceksiniz. İnsanların şu anda "yanlış" olduğunu düşündükleri, yıllarca yanlış kabul edilmedi ve gelecekte tekrar olmayabilir. Bu özel tartışmaya gelince, sadece katılmamaya karar vermeliyiz.
Andy Mercer
1
Bu düzeltme için teşekkürler, Firefox 59.0.1'de (ve Firefox Dev Edition 60) benim için harika çalışıyor. Mevcut .devprojelerimiz sonunda başka bir TLD sonekine taşınacak, ancak şimdilik bu yerel kalkınmanın durdurulmamasına yardımcı oluyor.
Jake Bathman
5

Ayarlama security.enterprise_roots.enablediçin trueüzerine about:configsayfa benim için çözüldü ve gelişimi sırasında işe benim kendinden imzalı sertifika sağladı.

Burada varsayılan olarak açık olmanın esası hakkında biraz tartışma var:
security.enterprise_roots.enabled öğesini varsayılan olarak true olarak ayarlayın .

Bu bayrağın amacı Firefox'un makine genelindeki CA kök deposunu sertifika yetkilileri için geçerli bir kaynak olarak kullanmasına izin vermek olsa da, bu benim kullandığım , kendinden imzalı bir çok etki alanı sertifikasına sahip olduğum kendi kullanım durumumun durumunu düzeltti Test için yerel olarak (SubjectAltName) . Sertifikayı Firefox sertifika listesine ekledikten sonra bile, bunu açana kadar yerel sitenin yüklenmesine izin vermedi.

Sean Aitken
kaynak
Teşekkürler, işe yaradı!
informatik01
0

Aynı sorun basilisk Web Tarayıcıda da vardı . Ağ Proxy ayarlarını değiştirmeye veya "network.stricttransportsecurity.preloadlist" veya "security.enterprise_roots.enabled" bayraklarını değiştirmeye çalıştım ... ancak engellenen web sitesi için sertifika eklemek için eksik düğmeyi çözmedi. Sadece bunu başardı:

  1. Adresine gidin about:support.
  2. Open DirectoryTarayıcı profilinizi tıklayın .
  3. Tarayıcıyı tamamen kapatın.
  4. Yukarıdaki dizinde " SiteSecurityServiceState.txt " dosyasını düzenleyin .
  5. Engellenen HSTS sitesini içeren tüm satırı bulun ve kaldırın.
  6. Dosyayı kaydedin ve Tarayıcınızı bu sitede yeniden açın.
Noam Manos
kaynak
-3

"Şifreleyelim" e gittim

https://letsencrypt.org/

Bir seferde yalnızca 3 ay geçerlidir, ancak yenileme otomatikleştirilebilir.

Yorumlarda da görebileceğiniz gibi, bir av var. Geliştirme ve test alanlarımız dev-www.example.com ve test-www.example.com olarak adlandırılır. Üretimden joker karakter sertifikası kullanıyoruz.

Gerard H.Pille
kaynak
5
Şifreleyelim, herkese açık olan sunucuya ve etki alanına güvenmeyelim mi? Yerel sanal ana bilgisayarlarda SSL kullanma seçenekleri arıyorum.
kontur
Evet, bu yerel kalkınma yapan insanlar için işe yaramıyor.
Andy Mercer
soru LOCAL DEV hakkında
@Pieter "yerel kalkınma" ile aynı mı? Çünkü yaptığımız şey bu.
Gerard
1
@ GerardH.Pille Sertifikaları yalnızca sunucuya internetten erişilebiliyorsa şifreleyebiliriz. Yerel gelişimim için durum böyle değil, bu yüzden geçerli değil. Eksik olduğum bir şey varsa lütfen bildiriniz.
Kontur
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.