昨天,Let's Encrypt 的证书已过期,请参见https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
这会导致旧版本的 Firefox(44 或更早版本)在调用使用从 Letsecrypt 购买的证书的站点时显示错误消息:
您的连接不安全 valid-isrgrootx1.letsencrypt.org 的所有者对其网站的配置不当。为了保护您的信息不被盗用,Firefox 未连接到此网站。此网站使用 HTTP 严格传输安全 (HSTS) 来指定 Firefox 仅安全连接到该网站。因此,无法为此证书添加例外。
更新 FF 不是一种选择。使用其他浏览器打开网站是可行的,但与上面链接的文章中的描述相反,这不会导致 FF 正确加载网站。
有没有什么技巧可以让 FF 使用新的 Letsencrypt 证书?
答案1
安装独立ISRG Root X1证书(而不是交叉签名版本)应该就足够了。您的 Firefox 版本支持多种验证路径,并且会在两种情况下识别出这是相同的 X1。(与这个帖子, 例如。)
使用其他浏览器下载“自签名” ISRG Root X1来自 letsencrypt.org,然后转到选项 → 高级 → 证书 → 查看证书 → 颁发机构。点击“导入”,选择下载的.der或.pem文件,并将其标记为可信任以用于验证网站。
(或者,使用 NSS 附带的“certutil”工具;请参阅certutil -H -A。)
不保证适用于全部Firefox 和 Mozilla 有史以来发布的版本(特别是 Firefox 31 获得了全新的“mozilla::pkix”我使用 Firefox 24.7 的证书验证模块 (SSL) 来验证已安装的 ISRG 根证书,但在我的测试中,即使是 Firefox 24.7 也会接受已安装的 ISRG 根证书,因为网站仍然会发送 DST 交叉签名的根证书。 (旧版本甚至不支持 TLS 1.2,所以我没有进一步测试。)