修复Firefox错误“MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT”

修复Firefox错误“MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT”

当您在使用 Firefox 浏览器访问某个网站时，遇到错误提示“Your connection is not secure”并显示代码 MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT，这表示 Firefox 无法验证该网站的 SSL/TLS 证书，因为该证书是由服务器自行签发的（即自签名证书），而非由受信任的证书颁发机构（CA）签发。

由于 Firefox 不信任自签名证书，因此会阻止连接以保护用户安全。

问题诊断步骤

1. 确认是否为生产环境

   • 如果是面向公众的网站（如企业官网、电商平台等），必须使用由公共受信 CA 签发的 SSL 证书。
   • 自签名证书仅适用于内部测试、开发环境或局域网服务。

2. 检查当前证书类型

   • 打开浏览器开发者工具 → 安全标签页 → 查看证书信息。
   • 判断证书是否为自签名（Issuer 和 Subject 相同，且不在受信根证书列表中）。

3. 确认客户端是否支持手动导入证书

   • 若为内网系统（如ERP、监控平台），可考虑将自签名证书手动添加至 Firefox 的受信任证书库中。
   • 但此方法不适合公众访问的场景。

4. 评估合规性要求

   • 根据 CA/B 论坛基线要求，所有公开可信的 TLS 证书必须由符合 WebTrust 标准的 CA 颁发。自签名证书不满足 HTTPS 合规性标准。

解决方案

✅ 方案一：替换为受信任的公共 SSL 证书（推荐）

最根本的解决方式是申请并部署一个由公共 CA 签发的 SSL 证书。根据验证级别可分为：

• DV SSL 证书（域名验证）：适合个人网站、博客、测试环境。
• OV SSL 证书（组织验证）：适合企业官网、中型业务系统。
• EV SSL 证书（扩展验证）：适合金融、电商等高信任需求场景。

以下是几款主流入门级 DV 证书产品对比：

推荐理由：

• 锐安信vTrus入门级DV 性价比高，国产合规品牌，适合预算有限用户。
• Sectigo DV SSL证书 国际主流 CA，兼容性强，适合对稳定性要求高的场景。

⚠️ 方案二：临时绕过警告（仅限测试用途）

若您仅为测试目的访问该站点，可采取以下临时措施：

1. 在错误页面点击“高级” → “接受风险并继续”。
2. 或手动导入自签名证书到 Firefox 受信任根证书库：
   • 导出服务器上的自签名证书（PEM/CER格式）
   • Firefox 设置 → 隐私与安全 → 证书 → 查看证书 → 作者证书 → 导入

注意：此操作存在安全风险，可能被中间人攻击利用，严禁用于公共网络环境。

❌ 不推荐做法

• 修改 Firefox 配置禁用证书验证（如设置 security.enterprise_roots.enabled=false 或修改 cert validity checking）
• 使用非标准端口规避检测
• 强制用户忽略安全警告

这些做法违反网络安全最佳实践，可能导致数据泄露或合规审计失败。

相关知识参考

1. SSL证书选型指南：明确DV、OV与EV证书在审核深度上的差异
2. HTTPS合规性要求：解读CA/B论坛对于证书有效期的最新规范
3. 如何为Nginx配置SSL证书？

推荐产品

1. 锐安信vTrus入门级DV —— 参考价格：65元；适用于个人博客或测试环境
2. Sectigo DV SSL证书 —— 参考价格：297元；适用于中大型电商平台
3. 锐安信DV通配符SSL证书 —— 参考价格：720元；适用于多子域名架构的企业应用

以上产品均来自受信 CA，兼容主流浏览器（包括 Firefox），可彻底解决 MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT 错误。