Gibt es eine Möglichkeit, Firefox dazu zu bringen, ungültige SSL-Zertifikate zu ignorieren?

81

Ich pflege einige Webanwendungen. Die Entwicklungs- und QA-Umgebungen verwenden ungültige / veraltete SSL-Zertifikate.

Obwohl es im Allgemeinen eine gute Sache ist, dass Firefox mich wie ein Dutzend Mal klicken lässt, um das Zertifikat zu akzeptieren, ist dies ziemlich ärgerlich.

Gibt es einen Konfigurationsparameter, mit dem Firefox (und möglicherweise auch der IE) ein SSL-Zertifikat akzeptiert?

EDIT: Ich habe die Lösung akzeptiert, die funktioniert hat. Aber danke an alle, die geraten haben, selbstsignierte Zertifikate zu verwenden. Ich bin mir völlig bewusst, dass die akzeptierte Lösung mir eine klaffende Sicherheitslücke hinterlässt . Trotzdem bin ich zu faul, um das Zertifikat für alle Anwendungen und alle Umgebungen zu ändern ...

Ich rate aber auch jedem dringend, die Validierung aktiviert zu lassen!

firefox ssl Mo.
quelle
1
Ich werde darauf hinweisen, dass diese Frage für Webserver gilt, die gültige Zertifikate für ihre Domänen haben, aber nur (zu einem bestimmten Zeitpunkt) über die IP-Adresse erreichbar sind. Es ist ein großer Segen für mich, https: //123.45.67.89/ besuchen zu können, ohne 4 zusätzliche Male zu klicken.
Sparr

Antworten:

24

Gehen Sie zu Extras> Optionen> Erweitert "Registerkarte" (?)> Registerkarte "Verschlüsselung"

Klicken Sie auf die Schaltfläche "Validierung" und deaktivieren Sie das Kontrollkästchen zur Überprüfung der Gültigkeit

Beachten Sie jedoch, dass dies ziemlich unsicher ist, da Sie dadurch weit offen sind, ungültige Zertifikate zu akzeptieren. Ich würde dies nur tun, wenn Sie den Browser in einem Intranet verwenden, in dem die Gültigkeit des Zertifikats für Sie kein Problem darstellt oder Sie im Allgemeinen nicht betroffen sind.

Dan Herbert
quelle
5
Ich bin verwirrt: Ich kann diese Option auf FF2 oder FF3 nicht finden. Es gibt nur eine Option, um die Verwendung von OCSP zu wechseln. In welcher Version von FF haben Sie gesehen, was Sie beschreiben?
Sleske
9
Dies scheint eine sehr schlechte Idee zu sein.
Greg Hurlman
8
OCSP ist , wie der Zertifikatwiderruf aktiviert ist, nicht , wie Zertifikate überprüft werden.
Bruno
1
Nun, ich hoffe wirklich, dass sie es können. Ich muss den Browser so programmieren, dass er automatisiertes Scraping ausführt. Sicherheit durch Dunkelheit ist sowieso keine Sicherheit.
CMCDragonkai
7
@ Drake Die Option ist jetzt ein Kontrollkästchen unter Preferences -> Advanced -> Certificates, es ist beschriftet"Query OCSP responder servers to confirm the current validity of certificates"
bruchowski
58

Versuchen Sie, eine Ausnahme hinzuzufügen: FireFox -> Extras -> Erweitert -> Zertifikate anzeigen -> Server -> Ausnahme hinzufügen.

henryc2323
quelle
16
Es kann keine Ausnahme hinzugefügt werden, wenn "HTTP Strict Transport Security (HSTS)" angegeben ist, sodass die Antwort nicht immer funktioniert.
Erreichen Sie den
Ich erhalte die Meldung "Diese Site bietet eine gültige, verifizierte Identifikation. Es ist keine Ausnahme erforderlich" für die gleiche Site, auf der dieser Fehler auftritt: "Nicht übereinstimmender SSL-Zertifikat-Hostname ssl_domain_invalid"
Katie
+1 für eine viel bessere Antwort, akzeptierte Antwort ist unglaublich unsicher. Ich stoße häufig auf selbstsignierte Zertifikate für die lokale Entwicklung und es ist viel besser, von Fall zu Fall Ausnahmen hinzuzufügen. Verwandte Fragen / Antworten im Support-Forum von Mozilla: support.mozilla.org/en-US/questions/1055526
Munsellj
Nur zum Spaß, hier ist eine kleine Verknüpfung, um zu demselben Bildschirm zu gelangen, auf den @ henryc2323 Sie verweist: "chrome: //pippki/content/exceptionDialog.xul" Fügen Sie diesen einfach in das Adressfeld von Firefox ein. Als Referenz fand ich das hier: support.mozilla.org/en-US/questions/1094104
AlienFromCA
22

Ich bin auf dieses Problem gestoßen, als ich versucht habe, auf eine der Intranetseiten meines Unternehmens zuzugreifen. Hier ist die Lösung, die ich verwendet habe:

  1. Geben Sie about:configin die Firefox-Adressleiste ein und stimmen Sie zu, fortzufahren.
  2. Suche nach der genannten Präferenz security.ssl.enable_ocsp_stapling.
  3. Doppelklicken Sie auf dieses Element, um seinen Wert in false zu ändern.

Dies verringert Ihre Sicherheit, da Sie Websites mit ungültigen Zertifikaten anzeigen können. Firefox wird Sie weiterhin auffordern, dass das Zertifikat ungültig ist und Sie die Wahl haben, fortzufahren. Das Risiko hat sich für mich also gelohnt.

Bryan Focht
quelle
Dies ist die wirklich richtige Antwort. Wenn Sie sich in einem öffentlichen WLAN befinden, das zu einer Registrierungsseite umleitet, und nur über Firefox verfügen, wissen Sie, dass die Seite nicht google.com/ncr ist, und möchten die Möglichkeit erhalten, das falsche ISP-Zertifikat vorübergehend zu akzeptieren. ohne eine permanente Ausnahme in der Zertifikatskonfiguration zu konfigurieren. Dann deaktivieren Sie das Kontrollkästchen "Diese Ausnahme dauerhaft speichern" und los geht's.
Alain Pannetier
3
Funktioniert nicht für mich in Firefox 53.0 für Mac. Wahrscheinlich, weil sie die Funktionsweise dieses Browsers alle paar Wochen komplett ändern.
Sudo
Ich versuche, https auf localhost für die Entwicklung zu verwenden. Ich habe es versucht, aber es hat nicht funktioniert. Screenshot - i.imgur.com/1LVqLQw.png
Noitidart
3

Verwenden Sie statt ungültiger / veralteter SSL-Zertifikate selbstsignierte SSL-Zertifikate. Dann können Sie in Firefox nur für diese Site eine Ausnahme hinzufügen.

Vergessenes Semikolon
quelle
3

Die Verwendung eines kostenlosen Zertifikats ist eine bessere Idee, wenn Ihre Entwickler Firefox 3 verwenden. Firefox 3 beschwert sich lautstark über selbstsignierte Zertifikate und ist ein großer Ärger.

rudle
quelle
2

Wenn Sie über gültige, aber nicht vertrauenswürdige SSL-Zertifikate verfügen, können Sie diese unter Extras / Eigenschaften / Erweitert / Verschlüsselung -> Zertifikate anzeigen importieren. Nach dem Importieren als "Server" müssen Sie "Vertrauen bearbeiten", um "der Authentizität dieses Zertifikats zu vertrauen" und das "es". Ich habe immer Probleme beim Aufzeichnen sicherer Websites mit HP VuGen und Performance Center

Pascal Calovini
quelle
1

Erstellen Sie einige schöne neue 10-Jahres-Zertifikate und installieren Sie sie. Das Verfahren ist ziemlich einfach.

Beginnen Sie mit (1B). Generieren Sie auf dieser Webseite Ihre eigene Zertifizierungsstelle (Certificate Authority) : Erstellen von Zertifizierungsstellen und selbstsignierten SSL-Zertifikaten und generieren Sie Ihr CA-Zertifikat und Ihren CA-Schlüssel. Sobald Sie diese haben, generieren Sie Ihr Serverzertifikat und Ihren Schlüssel. Erstellen Sie eine Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) und signieren Sie den Serverschlüssel mit dem CA-Zertifikat. Installieren Sie nun Ihr Serverzertifikat und Ihren Schlüssel wie gewohnt auf dem Webserver und importieren Sie das CA-Zertifikat in den Trusted Root Certification Authority Store von Internet Explorer (der auch vom Flex-Uploader und Chrome verwendet wird) und in den Certificate Manager Authorities Store von Firefox auf jeder benötigten Workstation Zugriff auf den Server über das selbstsignierte, CA-signierte Serverschlüssel / Zertifikat-Paar.

Sie sollten jetzt keine Warnung zur Verwendung selbstsignierter Zertifikate sehen, da die Browser das CA-Zertifikat im Trust Store finden und überprüfen, ob der Serverschlüssel von diesem vertrauenswürdigen Zertifikat signiert wurde. Auch in E-Commerce-Anwendungen wie Magento funktioniert der Flex-Image-Uploader jetzt in Firefox ohne die gefürchtete Fehlermeldung "Selbstsigniertes Zertifikat".

Fiasko-Labore
quelle
0

Das MitM Me-Addon wird dies tun - aber ich denke, selbstsignierte Zertifikate sind wahrscheinlich eine bessere Lösung.

Palmsey
quelle
2
Fehler: "Dieses Add-On wurde von einem Administrator deaktiviert." auf der Mozilla Addons Seite.
KERR