我有一个本地域 (markfisher.local),为此我制作了一个自签名证书,我已将其添加到钥匙串(keychain)访问中的证书中(我使用的是 Mac)。这会导致证书在 Chrome 和 Safari 中受到信任。如果我将 KeyChain Access 中的证书信任编辑为“从不信任”,那么 Chrome 和 Safari 将不再接受它,如果我将其更改回“始终信任”,那么我可以再次访问 markfisher.local OK。
但是在 Firefox 中访问该站点时,我得到以下信息:
markfisher.local uses an invalid security certificate. The certificate does not come from a trusted source. Error code: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY
我设置了
security.enterprise_roots.enabled至true正如 this answer 中的建议.此外,转到首选项 > 隐私和安全 > 查看证书,我可以看到我的证书位于“权限”选项卡中,并且我在“编辑信任”对话框中检查了“此证书可以识别网站”。这最初没有被检查但是 Firefox 拒绝接受证书。我怎样才能解决这个问题?
最佳答案
见 https://bugzilla.mozilla.org/show_bug.cgi?id=1034124特别是这个答案:
Looks like that certificate has a basicConstraints extension with the value cA: TRUE. We stopped allowing CA certificates to act as end-entity certificates. That certificate should be regenerated without the basicConstraints extension.
这也在 https://wiki.mozilla.org/SecurityEngineering/x509Certs 中进行了解释。
Error Code: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY
What It Means: A certificate with a basic constraints extension with cA:TRUE is being used as an end-entity certificate
What Can I Do: Re-generate the end-entity certificate without the basic constraints extension
关于ssl - 为什么 Firefox 不信任我的自签名证书?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59738140/