如何修复Firefox 59不再在.dev virtualhost上接受我的自签名SSL证书

在我的本地Apache环境中，我有一个需要SSL进行开发的站点，因此我一直在使用自签名证书。到目前为止，该本地站点在Firefox和Chrome中运行良好，但是今天将Firefox更新到版本59之后，我无法再接受安全例外（在Chrome上，自签名证书继续有效）。

Firefox在阻止页面中为我提供了以下附加信息：

...使用了无效的安全证书。该证书是自签名的，因此不受信任。错误代码：SEC_ERROR_UNKNOWN_ISSUER

没有像以前那样允许例外的选项，但是我转到了“证书”下的“ Firefox首选项”，然后在“服务器”选项卡中为本地域添加了例外。然后，该证书将在正确的本地服务器名称中列出，详细信息显示我的证书设置（颁发者和颁发者相同），并具有有效的时间跨度。

任何人在使用FF 59时遇到类似的问题，或者可能有线索如何尝试使自签名证书在本地再次运行？

编辑：在FF 59发行说明中我没有看到任何提及，但是新版本中的某些内容导致我在* .dev域上的所有本地虚拟主机自动尝试建立https连接（也就是说，所有http * .dev的请求会自动发送到https URL）。也许与此行为有关的原因也正是导致我的实际https虚拟主机出现这些问题的原因。

对于所有这些如何完全整合，我仍然不十分清楚，但是正如在此答案中 所指出的那样，.dev现在域是官方TLD。因此，似乎浏览器强制执行某种HSTS行为并强制执行https连接。对于那些TLD，似乎我的自签名证书不再在Firefox中被接受。更改虚拟主机以使用它可以.test解决此问题，而无需完全更改我的自签名证书中的任何内容。

值得注意的是，从今天的版本59开始，在Firefox中我的非SSL虚拟主机也开始运行，因为HSTS行为似乎迫使我在未设置为通过SSL服务的虚拟主机上使用SSL。在Chrome上，这仍然可以正常使用，但是无论哪种方式，可以肯定地说，离开现在正式使用的.devTLD都可以解决很多麻烦。

有一个简单的方法可以解决此问题。

1. 去 about:config
2. 搜索“ network.stricttransportsecurity.preloadlist”。
3. 将其设置为false。

警告：这将完全禁用HSTS。查看此答案的注释，以获取有关此方法的缺点的一些讨论。我个人认为收益大于风险，但是您要为自己的安全负责。

在页面上设置security.enterprise_roots.enabled为可以为我解决此问题，并允许我的自签名证书在开发期间正常工作。trueabout:config

关于此方法默认情况下的优点，这里有一些讨论：默认情况下，
将security.enterprise_roots.enabled设置为true。

尽管此标志的目的是允许Firefox将计算机范围的CA根存储区用作证书颁发机构的有效来源，但这已解决了我自己的用例的情况，其中我使用了自签名的多域证书在本地进行测试（subjectAltName）。即使将证书添加到Firefox证书列表中，也直到我将其打开后，它才允许加载本地站点。

在蛇怪Web浏览器上也有同样的问题。我试图更改网络代理设置，或修改“ network.stricttransportsecurity.preloadlist”或“ security.enterprise_roots.enabled”标志...但是它没有解决缺少的按钮，为被阻止的网站添加证书。只有这样才能做到：

1. 转到about:support。
2. 单击Open Directory浏览器配置文件。
3. 完全关闭浏览器。
4. 在上述目录中编辑文件“ SiteSecurityServiceState.txt ”。
5. 查找并删除包含被阻止的HSTS站点的整行。
6. 保存文件，然后在该站点上重新打开浏览器。

我参加了“让我们加密”

https://letsencrypt.org/

一次仅有效3个月，但刷新可以自动进行。

如您在评论中所见，有一个陷阱。我们的开发和测试域称为dev-www.example.com和test-www.example.com。我们使用生产中的通配符证书。