web-dev-qa-db-fra.com

Comment réparer Firefox 59 n'accepte plus mon certificat SSL auto-signé sur .dev virtualhost

Sur mon environnement Apache local, mon site requiert le protocole SSL pour le développement. J'utilise donc un certificat auto-signé. Le site local a bien fonctionné jusqu'à présent dans Firefox et Chrome, mais après la mise à jour de Firefox vers la version 59 aujourd'hui, je ne parviens pas à accepter l'exception de sécurité (sous Chrome, le certificat auto-signé continue de fonctionner).

Firefox me donne ces informations supplémentaires dans la page bloquée:

... utilise un certificat de sécurité invalide. Le certificat n'est pas approuvé car il est auto-signé. Code d'erreur: SEC_ERROR_UNKNOWN_ISSUER

Il n'y a pas d'option permettant d'autoriser l'exception comme auparavant, mais je suis allé dans les préférences de Firefox sous Certificats, puis sous l'onglet "Serveur", j'ai ajouté une exception pour le domaine local. Le certificat est ensuite répertorié dans le nom de serveur local correct. Les détails indiquent les paramètres de certificat Emis par et Émis identiques, avec une durée valide.

Toute personne rencontrant des problèmes similaires avec FF 59 ou pourrait-elle avoir une idée de ce qu'il faut faire pour que le certificat auto-signé fonctionne à nouveau localement?

Edit: je ne vois aucune mention de cela dans les notes de version de FF 59 , mais quelque chose dans la nouvelle version amène tous mes hôtes virtuels locaux sur les domaines * .dev à essayer automatiquement d’établir une connexion https ( c'est-à-dire que toutes les requêtes http pour * .dev sont automatiquement envoyées à l'URL https). Peut-être que quelque chose à propos de ce comportement est également la cause de ces problèmes pour mes hôtes virtuels https actuels.

sslssl-certificatefirefox
12
kontur

Je ne suis toujours pas tout à fait clair sur la façon dont tout cela s’agence parfaitement, mais comme il a été souligné dans cette réponse.dev, les domaines sont maintenant des domaines de premier niveau officiels. En tant que tel, il semble que les navigateurs imposent un comportement HSTS et des connexions https. Pour ces TLD, il semble que mon certificat auto-signé n’ait plus été accepté dans Firefox. Changer mes hôtes virtuels pour utiliser .test a résolu le problème sans avoir à modifier quoi que ce soit dans mes certificats auto-signés.

Il est à noter que, dans Firefox également, mes hôtes virtuels non SSL agissaient depuis la version 59, car le comportement HSTS semblait forcer SSL sur les hôtes virtuels que je n'avais pas configurés pour servir via SSL. Sur Chrome, cela fonctionnait encore, mais dans tous les cas, il est prudent de dire que s'éloigner du .dev TLD, officiellement utilisé, résoudra de nombreux maux de tête.

9
kontur

Il y a un moyen facile de contourner cela.

  1. Aller au about:config
  2. Recherchez "network.stricttransportsecurity.preloadlist".
  3. Réglez-le sur false.

AVERTISSEMENT: cela désactivera entièrement HSTS . Jetez un coup d'œil aux commentaires sur cette réponse pour en savoir plus sur les inconvénients de cette méthode. Personnellement, je pense que les avantages l'emportent sur les risques, mais vous êtes responsable de votre propre sécurité.

 enter image description here

11
Andy Mercer