Czy istnieje sposób, aby Firefox ignorował nieprawidłowe certyfikaty ssl?

81

Utrzymuję kilka aplikacji internetowych. Środowiska programistyczne i QA używają nieprawidłowych / nieaktualnych certyfikatów ssl.

Chociaż generalnie to dobrze, że Firefox sprawia, że ​​klikam kilkanaście razy, aby zaakceptować certyfikat, jest to dość denerwujące.

Czy istnieje parametr konfiguracyjny, który powoduje, że Firefox (i prawdopodobnie również IE) akceptuje dowolny certyfikat ssl?

EDYCJA: Zaakceptowałem rozwiązanie, które zadziałało. Ale dziękuję wszystkim, którzy doradzili używanie certyfikatów z podpisem własnym. Mam pełną świadomość, że przyjęte rozwiązanie zostawia mnie z ziejącą luką w zabezpieczeniach . Niemniej jednak jestem zbyt leniwy, aby zmienić certyfikat dla wszystkich aplikacji i wszystkich środowisk ...

Ale radzę również każdemu, aby pozostawił walidację włączoną!

firefox ssl Pon.
źródło
1
Zaznaczę, że to pytanie dotyczy serwerów internetowych, które mają ważne certyfikaty dla swoich domen, ale można się do nich dostać (w danym momencie) tylko przez adres IP. Możliwość odwiedzenia strony https: //123.45.67.89/ bez 4 dodatkowych kliknięć jest dla mnie wielkim błogosławieństwem.
Sparr

Odpowiedzi:

24

Przejdź do Narzędzia> Opcje> Zaawansowane „Karta” (?)> Karta Szyfrowanie

Kliknij przycisk „Walidacja” i usuń zaznaczenie pola wyboru, aby sprawdzić ważność

Należy jednak pamiętać, że jest to dość niebezpieczne, ponieważ pozostawia szerokie możliwości zaakceptowania nieważnego certyfikatu. Zrobiłbym to tylko wtedy, gdy korzystam z przeglądarki w intranecie, w którym ważność certyfikatu nie dotyczy Ciebie lub ogólnie nie martwisz się.

Dan Herbert
źródło
5
Jestem zdezorientowany: nie mogę znaleźć tej opcji na FF2 lub FF3. Istnieje tylko opcja przełączenia użycia OCSP. W jakiej wersji FF widziałeś to, co opisałeś?
sleske
9
Wydaje się, że to bardzo zły pomysł.
Greg Hurlman
8
OCSP to sposób sprawdzania odwołania certyfikatu , a nie sposobu sprawdzania certyfikatów.
Bruno,
1
Cóż, naprawdę mam nadzieję, że tak. Muszę zaprogramować przeglądarkę do automatycznego skrobania. Bezpieczeństwo przez zaciemnienie i tak nie jest zabezpieczeniem.
CMCDragonkai
7
@Drazick Ta opcja jest teraz pod polem wyboru Preferences -> Advanced -> Certificates, jest oznaczona"Query OCSP responder servers to confirm the current validity of certificates"
bruchowski
58

Spróbuj Dodaj wyjątek: FireFox -> Narzędzia -> Zaawansowane -> Wyświetl certyfikaty -> Serwery -> Dodaj wyjątek.

henryc2323
źródło
16
Nie można dodać wyjątku, gdy określono „HTTP Strict Transport Security (HSTS)”, więc odpowiedź nie zawsze będzie działać.
rveach
Otrzymuję komunikat „Ta witryna zapewnia prawidłową, zweryfikowaną identyfikację. Nie ma potrzeby tworzenia wyjątku” dla TEJ SAMEJ witryny, w której pojawia się następujący błąd: „Niezgodność nazwy hosta certyfikatu SSL ssl_domain_invalid”
Katie
+1 dla znacznie lepszej odpowiedzi, zaakceptowana odpowiedź jest niesamowicie niepewna. Spotykam się z tym często przy użyciu certyfikatów z podpisem własnym do lokalnego rozwoju i znacznie lepiej jest dodawać wyjątki indywidualnie dla każdego przypadku. Powiązane pytania / odpowiedzi na forum pomocy
Mozilli
Dla zabawy, oto mały skrót, aby dostać się do tego samego ekranu, na który wskazuje @ henryc2323: "chrome: //pippki/content/exceptionDialog.xul" Po prostu wklej go w pole adresu Firefoksa. Dla odniesienia znalazłem to tutaj: support.mozilla.org/en-US/questions/1094104
AlienFromCA
22

Napotkałem ten problem, próbując dostać się do jednej z witryn intranetowych mojej firmy. Oto rozwiązanie, którego użyłem:

  1. wejdź about:configw pasek adresu przeglądarki Firefox i zgódź się kontynuować.
  2. wyszukaj preferencję o nazwie security.ssl.enable_ocsp_stapling.
  3. kliknij dwukrotnie ten element, aby zmienić jego wartość na false.

Obniży to Twoje bezpieczeństwo, ponieważ będziesz mógł przeglądać witryny z nieprawidłowymi certyfikatami. Firefox nadal będzie wyświetlał monit, że certyfikat jest nieważny i możesz przejść dalej, więc dla mnie było to warte ryzyka.

Bryan Focht
źródło
TO jest prawdziwa poprawna odpowiedź. Kiedy korzystasz z publicznej sieci WLAN, która przekierowuje na stronę rejestracji, a jedyne, co masz, to Firefox, to WIESZ, że strona nie jest google.com/ncr i chcesz mieć możliwość tymczasowego zaakceptowania niewłaściwego certyfikatu dostawcy usług internetowych. bez konfigurowania stałego wyjątku w konfiguracji certyfikatów. Następnie usuwasz zaznaczenie pola wyboru „Trwale przechowuj ten wyjątek” i gotowe.
Alain Pannetier
3
Nie działa dla mnie w przeglądarce Firefox 53.0 dla komputerów Mac. Zapewne dlatego, że co kilka tygodni całkowicie zmieniają sposób działania tej przeglądarki.
sudo
Próbuję używać protokołu https na hoście lokalnym do programowania. Próbowałem tego, ale to nie zadziałało. Screenshot - i.imgur.com/1LVqLQw.png
Noitidart
3

Zamiast używać nieważnych / nieaktualnych certyfikatów SSL, dlaczego nie użyć certyfikatów SSL z podpisem własnym? Następnie możesz dodać wyjątek w przeglądarce Firefox tylko dla tej witryny.

Zapomniany średnik
źródło
3

Korzystanie z bezpłatnego certyfikatu jest lepszym pomysłem, jeśli twoi programiści używają przeglądarki Firefox 3. Firefox 3 głośno narzeka na certyfikaty z podpisem własnym i jest to bardzo irytujące.

rudle
źródło
2

Jeśli masz ważne, ale niezaufane certyfikaty ssl, możesz je zaimportować w Extras / Properties / Advanced / Encryption -> View Certificates. Po zaimportowaniu jako „Serwery” musisz „Edytuj zaufanie”, aby „Zaufać autentyczności tego certyfikatu” i „to”. Zawsze mam problem z rejestrowaniem bezpiecznych witryn internetowych za pomocą HP VuGen i Performance Center

Pascal Calovini
źródło
1

Utwórz fajne nowe 10-letnie certyfikaty i zainstaluj je. Procedura jest dość łatwa.

Zacznij od (1B) Wygeneruj własny ośrodek certyfikacji (CA) na tej stronie: Tworzenie urzędów certyfikacji i samodzielnie podpisanych certyfikatów SSL oraz wygeneruj certyfikat i klucz CA. Gdy już je masz, wygeneruj certyfikat i klucz serwera. Utwórz żądanie podpisania certyfikatu (CSR), a następnie podpisz klucz serwera za pomocą certyfikatu CA. Teraz zainstaluj certyfikat i klucz serwera na serwerze internetowym w zwykły sposób i zaimportuj certyfikat CA do magazynu Trusted Root Certification Authority programu Internet Explorer (używanego przez program do przesyłania Flex i Chrome) oraz do magazynu certyfikatów menedżera certyfikatów Firefoksa na każdej stacji roboczej, która wymaga aby uzyskać dostęp do serwera przy użyciu samopodpisanej pary klucz / certyfikat serwera z podpisem CA.

Nie powinno być teraz wyświetlane żadne ostrzeżenie dotyczące korzystania z certyfikatów z podpisem własnym, ponieważ przeglądarki znajdą certyfikat CA w magazynie zaufania i sprawdzą, czy klucz serwera został podpisany tym zaufanym certyfikatem. Również w aplikacjach handlu elektronicznego, takich jak Magento, narzędzie do przesyłania obrazów Flex będzie teraz działać w przeglądarce Firefox bez przerażającego komunikatu o błędzie „Certyfikat z podpisem własnym”.

Fiasco Labs
źródło
0

Dodatek MitM Me zrobi to - ale myślę, że certyfikaty z podpisem własnym są prawdopodobnie lepszym rozwiązaniem.

Palmsey
źródło
2
Błąd: „Ten dodatek został wyłączony przez administratora”. w witrynie Mozilla Addons.
KERR