फ़ायरफ़ॉक्स 59 को कैसे ठीक किया जाए। अब .dev virtualhost पर मेरे स्व हस्ताक्षरित एसएसएल प्रमाणपत्र को स्वीकार नहीं करना चाहिए

20

मेरे स्थानीय अपाचे परिवेश में मेरे पास एक ऐसी साइट है जिसमें विकास के लिए एसएसएल की आवश्यकता है, इसलिए मैं स्वयं हस्ताक्षरित प्रमाण पत्र का उपयोग कर रहा हूं। स्थानीय साइट ने अब तक फ़ायरफ़ॉक्स और क्रोम में ठीक काम किया है, लेकिन फ़ायरफ़ॉक्स को संस्करण 59 में अपडेट करने के बाद आज मैं इसे सुरक्षा अपवाद को स्वीकार नहीं कर सकता (क्रोम पर स्व हस्ताक्षरित प्रमाण पत्र काम करना जारी रखता है)।

फ़ायरफ़ॉक्स मुझे अवरुद्ध पृष्ठ में यह अतिरिक्त जानकारी देता है:

... अमान्य सुरक्षा प्रमाणपत्र का उपयोग करता है। प्रमाण पत्र पर भरोसा नहीं किया जाता है क्योंकि यह स्व-हस्ताक्षरित है। त्रुटि कोड: SEC_ERROR_UNKNOWN_ISSUER

यहाँ अपवाद की अनुमति देने का कोई विकल्प नहीं है जैसा कि पहले हुआ करता था, लेकिन मैं प्रमाण पत्र के तहत फ़ायरफ़ॉक्स वरीयताएँ गया, फिर "सर्वर" टैब में मैंने स्थानीय डोमेन के लिए एक अपवाद जोड़ा है। प्रमाणपत्र को फिर सही स्थानीय सर्वर नाम में सूचीबद्ध किया गया है, विवरण एक वैध समय के साथ, मेरे द्वारा जारी किए गए और जारी किए जाने के प्रमाण पत्र की सेटिंग्स को दर्शाता है।

किसी को भी एफएफ 59 के साथ समान समस्याओं का सामना करना पड़ रहा है या स्थानीय स्तर पर फिर से काम कर रहे स्व-हस्ताक्षरित प्रमाण पत्र प्राप्त करने का प्रयास करने के लिए एक सुराग हो सकता है?

संपादित करें: मुझे FF 59 रिलीज़ नोटों में इसका कोई उल्लेख नहीं दिखता है, लेकिन नए संस्करण में कुछ मेरे सभी स्थानीय वर्चुअल होस्ट्स पर * .dev डोमेन स्वचालित रूप से एक https कनेक्शन स्थापित करने का प्रयास करने का कारण बनता है (यह कहना है, सभी http * .dev के लिए अनुरोध स्वचालित रूप से https URL पर भेजे जाते हैं)। शायद इस व्यवहार के बारे में कुछ ऐसा भी है जो मेरे वास्तविक https वर्चुअल होस्ट के लिए इन समस्याओं का कारण बन रहा है।

ssl  ssl-certificate  firefox 
Kontur
स्रोत
1
मेरा अनुमान है कि अब आपको स्व-हस्ताक्षरित प्रमाणपत्र के लिए CA की आवश्यकता है क्योंकि फ़ायरफ़ॉक्स पिछले कुछ रिलीज से धीरे-धीरे आवश्यकताओं को कस रहा है। हालाँकि, चलो एनक्रिप्ट के साथ स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग करने का कोई कारण नहीं है।
साइमन ग्रीनवुड
मैं अनुमान नहीं लगाना चाहता लेकिन मुझे लगता है कि @SimonGreenwood सही है। लेकिन आमतौर पर फ़ायरफ़ॉक्स सिर्फ नए विकल्पों को डिफ़ॉल्ट के रूप में सेट करता है और आपको सेटिंग्स को संपादित करने की अनुमति देता है। अपनी गोपनीयता सेटिंग जांचें।
@Broco यदि सुरक्षा सेटिंग्स में कुछ भी है, तो गोपनीयता सेटिंग्स नहीं। जैसा कि ऊपर कहा गया है, मैंने एक सुरक्षा अपवाद भी जोड़ा है, लेकिन फ़ायरफ़ॉक्स अभी भी प्रमाण पत्र को सत्यापित करने में सक्षम नहीं होने पर जोर देता है, क्योंकि जाहिर है कि जारीकर्ता अज्ञात है।
कांट
मेरे लिए @kontur लिंक के बारे में है: प्राथमिकताएं # गोपनीयता और सुरक्षा सेटिंग्स दोनों को सेट करने के लिए, यही कारण है कि मैंने गोपनीयता कहा। इसे बग के रूप में पोस्ट करने पर विचार करें।
2
@SimonGreenwood स्थानीय कनेक्शन पर एन्क्रिप्ट न होने का उपयोग न करने के बहुत सारे कारण हैं। एक को एनक्रिप्ट करने की इच्छा नहीं होगी।
जॉन

जवाबों:

15

मैं अभी भी पूरी तरह से स्पष्ट नहीं हूं कि यह सब एक साथ कैसे फिट बैठता है, लेकिन जैसा कि इस उत्तर में बताया गया है कि.dev डोमेन अब आधिकारिक TLD हैं। जैसे, ऐसा लगता है कि ब्राउज़र कुछ प्रकार के एचएसटीएस व्यवहार को मजबूर करते हैं और https कनेक्शन को मजबूर करते हैं। उन TLD के लिए ऐसा लगता है कि मेरा स्व-हस्ताक्षरित प्रमाणपत्र अब फ़ायरफ़ॉक्स में स्वीकार नहीं किया गया था। मेरे वर्चुअल होस्ट को बदलने के .testलिए समस्या को हल करने के लिए बिना मेरे स्व-हस्ताक्षरित प्रमाणपत्रों में कुछ भी बदलाव किए बिना।

यह ध्यान देने योग्य है कि फ़ायरफ़ॉक्स में भी मेरे गैर-एसएसएल वर्चुअल होस्ट ने आज संस्करण 59 के बाद से काम किया है, क्योंकि एचएसटीएस व्यवहार एसएसएल के माध्यम से सेवा के रूप में स्थापित नहीं किए गए वर्चुअल मेजबानों पर एसएसएल को मजबूर करने के लिए लग रहा था। क्रोम पर यह अभी भी काम करता था, लेकिन या तो यह कहना सुरक्षित है कि अब आधिकारिक तौर पर इस्तेमाल किए जाने वाले .devTLD से दूर जाना कई सिरदर्द को हल कर देगा।

Kontur
स्रोत
1
हां, .devकुछ समय से वैध TLD है , इसलिए इसका उपयोग अपने आंतरिक संसाधनों के नाम के लिए करें। किसी अन्य नाम के लिए भी: किसी भी ऐसे नाम का उपयोग न करें जिसे आप सोचते हैं कि कोई और उपयोग करेगा। या तो उपयोग परीक्षण नाम RFC2606 में संदर्भित या बस कहीं भी एक सच्चे डोमेन नाम पंजीकृत है और जैसे किसी उप डोमेन का उपयोग int.example.comया dev.example.comअपने सभी आंतरिक नाम प्रत्यय करने के लिए। तब आपके पास कभी भी टकराव या समस्याएं नहीं होंगी (जब तक आपका नाम प्रत्येक वर्ष डोमेन नाम को नवीनीकृत करने के लिए याद है!)
पैट्रिक मेवज़ेक
2
पैट्रिक मेवज़ेक
1
लिंक के लिए धन्यवाद। वहाँ उल्लिखित समय-सीमाएँ बहुत अधिक नहीं हैं, लेकिन शायद लेखक ने विकास के पूर्वावलोकन या इस तरह की बात की है। यह देखते हुए कि अब मुझे पता है कि यह देखना बहुत कठिन है कि ब्राउज़र विक्रेता कुछ अतिरिक्त डिबगिंग जानकारी क्यों नहीं जोड़ेंगे, विशेष रूप से .devडोमेन पर SSL त्रुटि के संबंध में । जब तक आप जानते हैं कि यह एक TLD है कोई मौका नहीं है कि आप यह समस्या है।
कोंतुर
12

इसके आसपास एक आसान तरीका है।

  1. के लिए जाओ about:config
  2. "Network.stricttransportsecurity.preloadlist" खोजें।
  3. इसे सेट करें false

चेतावनी: यह एचएसटीएस को पूरी तरह से अक्षम कर देगा । इस विधि के चढ़ाव के बारे में कुछ चर्चा के लिए इस उत्तर पर टिप्पणियों पर एक नज़र डालें। मुझे लगता है कि व्यक्तिगत रूप से लाभ जोखिम को कम करता है, लेकिन आप अपनी सुरक्षा के लिए जिम्मेदार हैं।

यहाँ छवि विवरण दर्ज करें

एंडी मर्सर
स्रोत
4
यह एक बहुत बुरा विचार है क्योंकि यह सेटिंग उन सभी वेबसाइटों पर लागू होगी जो आप न सिर्फ अपनी यात्रा करते हैं। आप अपनी सुरक्षा कम कर रहे हैं।
पैट्रिक मेवज़ेक
मैं असहमत हूं। HSTS अपेक्षाकृत नया है। हम पिछले 20 वर्षों से इसके बिना ठीक हैं, इसलिए यह कहना कि सुरक्षा के लिए इसे अक्षम करना अतिरंजित है। दूसरे, भले ही यह एक बुरा विचार है, अगर मेरे विकास सर्वर काम करना जारी रखना चाहते हैं, तो वास्तव में कोई अन्य विकल्प नहीं है, जिसमें मेरे विकास परिवेश में वास्तव में लंबे बदलाव शामिल नहीं हैं।
एंडी मर्सर
1
इस तरह का एक समाधान: Security.stackexchange.com/a/154176 कम से कम केवल एक साइट को प्रभावित करता है, उन सभी को नहीं।
पैट्रिक मेवज़ेक
1
कृपालु होने के नाते मुझे पता है कि यह ध्वनि हो रही है, जैसे-जैसे आप बड़े होते जाएंगे, आपको महसूस होगा कि "सर्वोत्तम अभ्यास" और "गलत" जैसी चीजें लचीली हैं और समय के साथ बदलती हैं। जो लोग अभी "गलत" मानते हैं, उन्हें कई वर्षों तक गलत नहीं माना गया था, और भविष्य में फिर से नहीं हो सकता है। इस विशिष्ट चर्चा के अनुसार, हम केवल असहमत होने के लिए सहमत होंगे।
एंडी मर्सर
1
इस फिक्स के लिए धन्यवाद, फ़ायरफ़ॉक्स 59.0.1 (और फ़ायरफ़ॉक्स देव संस्करण 60) में मेरे लिए बहुत अच्छा काम करता है। हमारी वर्तमान .devपरियोजनाएं अंततः एक और TLD प्रत्यय में स्थानांतरित हो जाएंगी, लेकिन अब यह स्थानीय विकास को रोकने में मदद नहीं करता है।
जेक बाथमैन
5

पृष्ठ पर सेट security.enterprise_roots.enabledकरने से मेरे लिए यह हल हो गया और मेरे स्व-हस्ताक्षरित प्रमाणपत्र को विकास के दौरान काम करने की अनुमति दी।trueabout:config

डिफ़ॉल्ट रूप से इस पर होने के गुण के बारे में थोड़ी चर्चा है:
सुरक्षा सेट करें

यद्यपि इस ध्वज का आशय फ़ायरफ़ॉक्स को मशीन-वाइड CA रूट स्टोर को प्रमाणपत्र प्राधिकारी के लिए एक वैध स्रोत के रूप में उपयोग करने की अनुमति देता है, यह मेरे स्वयं के उपयोग के मामले के लिए स्थिति तय करता है जहां मेरे पास स्व-हस्ताक्षरित बहु-डोमेन प्रमाणपत्र है जो मैं उपयोग करता हूं स्थानीय रूप से परीक्षण के लिए (विषयअनुनाम) । मेरे द्वारा फ़ायरफ़ॉक्स प्रमाणपत्र सूची में प्रमाणपत्र जोड़ने के बाद भी, यह तब तक नहीं था जब तक कि मैंने इसे चालू नहीं किया था कि यह स्थानीय साइट को लोड करने की अनुमति दे।

सीन ऐटकेन
स्रोत
धन्यवाद, यह काम किया!
informatik01
0

तुलसी के वेब ब्राउजर पर भी यही समस्या थी । मैंने नेटवर्क प्रॉक्सी सेटिंग्स को बदलने की कोशिश की, या "network.stricttransportsecurity.preloadlist" या "security.enterprise_roots.enabled" झंडे को संशोधित करने के लिए ... लेकिन इसने अवरुद्ध वेब साइट के लिए प्रमाणपत्र जोड़ने के लिए लापता बटन को हल नहीं किया। केवल इसने इसे बनाया:

  1. के पास जाओ about:support
  2. Open Directoryअपने ब्राउज़र प्रोफ़ाइल पर क्लिक करें ।
  3. ब्राउज़र को पूरी तरह से बंद करें।
  4. उपरोक्त निर्देशिका में फ़ाइल " SiteSecurityServiceState.txt " संपादित करें ।
  5. उस संपूर्ण पंक्ति को ढूंढें और निकालें जिसमें अवरुद्ध HSTS साइट है।
  6. फ़ाइल सहेजें, और उस साइट पर अपने ब्राउज़र को फिर से खोलें।
नोम मानस
स्रोत
-3

मैं "चलो एनक्रिप्ट" के लिए गया था

https://letsencrypt.org/

एक बार में केवल 3 महीने के लिए ही मान्य है, लेकिन रिफ्रेश को स्वचालित किया जा सकता है।

जैसा कि आप टिप्पणियों में देख सकते हैं, एक पकड़ है। हमारे विकास और परीक्षण डोमेन को dev-www.example.com और test-www.example.com कहा जाता है। हम उत्पादन से वाइल्डकार्ड प्रमाणपत्र का उपयोग करते हैं।

जेरार्ड एच। पिल
स्रोत
5
आइए एन्क्रिप्ट न करें कि सर्वर और डोमेन सार्वजनिक रूप से उपलब्ध होने पर भरोसा करते हैं? मैं स्थानीय वर्चुअल होस्ट पर SSL का उपयोग करने के विकल्प की तलाश कर रहा हूं।
कांट
हाँ, जो स्थानीय विकास कर रहे लोगों के लिए काम नहीं करता है।
एंडी मर्सर
सवाल LOCAL DEV के बारे में है
@ पीटर "स्थानीय विकास" के समान है? क्योंकि वही हम करते हैं।
गेरार्ड एच। पिल
1
@ GerardH.Pille आप केवल सर्वर से इंटरनेट एक्सेस करने पर सर्टिफिकेट्स उत्पन्न कर सकते हैं। मेरे स्थानीय विकास के लिए, यह मामला नहीं है, इसलिए यह व्यवहार्य नहीं है। कृपया सलाह दें कि क्या कुछ है जो मुझे याद आ रहा है।
कोंतुर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.