Уже полчаса потратил, не могу решить проблему:
В локалке стоит сервак с апачем, на котором настроены прокси с кэшем на fonts.googleapis.com (и прочие гуглопомойки типа ajax, fonts.gstatic и пр.). DNS на fonts.googleapis.com (и пр.) отдаёт локальый адрес этого сервака. Разумеется для https сертификат самоподписанный. Всё чудеснейшим образом работает везде, кроме этого нового квантума.
Дык вот, этот сраный квантум теперь, скотина, не даёт сделать исключение для https://fonts.googleapis.com, Высирает такое:
This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox may only connect to it securely. As a result, it is not possible to add an exception for this certificate.
При нажатии Advanced... никаких кнопок Add Exception, только высер про
fonts.googleapis.com uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER
Ну ладно, порылся в говнах фаерфоксовых, может где случайно затесался старый сертификат или упоминание что HSTS на fonts.googleapis.com есть, так ведь нет же - нигде ничего.
Добавил принудительно сертификат через Preferences->Privacy&Security->... Этой твари похер. Сделал новый профиль - похер.
Где надо палочкой потыкать, чтобы квантум сожрал самоподписанный сертификат для fonts.googleapis.com и больше никогда не жужжал?
Ну и вообще - Это чо ваще за херня? Мазилла совсем с дубу рухнула, что-ли? Теперь локальный кэш нельзя людям использовать, что-ли? При этом CNNIC и другие СА спалившиеся на поддельных сертификатах до сих пор в списке доверенных, так что это явно не забота о безопасности пользователей.
В общем, что делать-то? Уж очень не хочется делать CA и заново все сертификаты генерить и подписывать, а потом по всем железкам CA в доверенные запихивать.
Хоть и с CA но таки победил. Правда с CA наткнулся на другую засаду:
Есть в about:config security.cert_pinning.enforcement_level:
- Pinning disabled
- Allow User MITM (pinning not enforced if the trust anchor is a user inserted CA, default)
- Strict. Pinning is always enforced.
- Enforce test mode.
Соответственно, надо поставить 1, это, кстати дефолтное значение. Зачем я его менял - хрен знает, вроде когда-то пытался заставить фуррифокс орать в том числе и на смену одного «валидного» сертификата на другой, может тогда и поставил Strict.
Однако это никак не отменяет гнидства на предмет self-signed certificates. Фаерфокс всё равно отказывается дать возможность принимать self-signed сертификаты если есть HSTS или HPKP. Разницы между self-signed и Trusted CA signed вообще никакой с точки зрения безопасности - я точно так же могу и CA завести, просто возни больше на совершенно пустом месте, Причём, в отличии от самоподписанного сертификата, теперь при смене сертификатов, в том числе и на подписанные коммерческими CA эта сволочь вообще даже не пикает. На самоподписанный оно хотя бы орало, что сертификат другой. А тут - выпустит CNNIC сертификат для гуглотвиттеров и пейсбукобанков и никто даже не заметит, что сертификат подменили.
ЗЫ: Вся эта херня с «доверенными» сертификаторами должна быть уничтожена на корню. Никто ведь не знает, сколько и каких левых сертификатов эти засранцы на самом деле навыпускали для себя, для спецслужб, для тех кто заплатит и т.п. Способа проверить это у пользователя нет вообще, сертификаторы ни перед кем не отчитываются, и в общем-то ни за что не отвечают. Даже когда их ловят за руку (например CNNIC - доказанный случай) никто и не думает выкидывать их сертификаты из доверенных, «как же, всекитайский государственный сертификатор, как же мы его выкинем?? Ну допустил выдачу левых сертификатов - делов-то, подумаешь.». В общем, протухла вся эта сраная система.
