Firefox中手动标记SSL证书为“不信任”后会持久化至本地拒绝列表,需通过四步恢复:一、在证书例外中删除该站点;二、删除cert9.db和pkcs11.txt重置证书库;三、禁用security.enterprise_roots.enabled策略;四、手动导入缺失的中间证书。
如果您在 Firefox 中曾手动将某个网站的 SSL 证书标记为“不信任”,此后该站点便持续触发安全警告,无法正常加载加密内容,则说明浏览器已将该证书永久列入本地拒绝列表。Firefox 并未提供一键“重塑信任”的图形化开关,但可通过多种底层机制恢复对该证书的信任状态。以下是具体操作路径:
一、清除特定站点的证书例外记录
Firefox 将用户手动添加的证书例外(即“不信任”决定)单独存储于证书管理器中,移除该条目即可恢复默认验证逻辑,使浏览器重新依据系统或内置根证书库判断其有效性。
1、在地址栏输入 about:preferences#privacy 并回车,进入隐私与安全性设置页。
2、向下滚动至“证书”区域,点击查看证书按钮。
3、在弹出窗口中切换至例外标签页。
4、在列表中定位目标网站域名,选中后点击删除按钮。
5、关闭窗口,重启 Firefox 后再次访问该网站,将触发标准证书验证流程。
二、重置 Firefox 的证书数据库(cert9.db)
Firefox 使用 SQLite 数据库存储用户导入的根证书、中间证书及例外规则。若 cert9.db 文件损坏或混入异常策略,可能导致证书信任链解析失败。重置该文件可强制浏览器回归出厂证书信任状态,但会清除所有手动导入的根证书和例外项。
1、关闭 Firefox 浏览器,确保无后台进程残留。
2、打开 Firefox 配置文件夹:在地址栏输入 about:support,点击打开文件夹按钮。
3、在打开的目录中,找到并删除以下两个文件:cert9.db 与 pkcs11.txt(如有)。
4、重新启动 Firefox,浏览器将自动生成新的空白证书数据库,并加载操作系统提供的根证书信任列表。
三、禁用 Enterprise Roots 策略强制覆盖
当 Firefox 被企业策略(如 Windows 组策略或 Linux ADMX 模板)启用 security.enterprise_roots.enabled 时,浏览器将忽略自身内置根证书库,仅信任由组织管理员部署的根证书。若该策略所配证书集缺失目标站点的签发根,则会导致“不可信”判定。临时禁用此策略可恢复 Firefox 原生信任体系。
1、在地址栏输入 about:config 并确认风险提示。
2、在搜索栏输入 enterprise_roots。
3、双击 security.enterprise_roots.enabled 项,将其值由 true 改为 false。
4、重启浏览器,此时 Firefox 将重新启用内置根证书库进行验证。
四、手动导入缺失的中间证书
部分服务器未正确配置证书链,仅发送终端证书而遗漏中间证书,导致 Firefox 无法构建完整信任路径。此时需从证书颁发机构官网下载对应中间证书,并手动导入至 Firefox 的权威证书颁发机构列表中。
1、使用其他可信设备或浏览器访问该网站,点击地址栏锁形图标 → “连接安全” → “证书信息” → “详细信息” → “复制到文件”,导出完整的证书链(含中间证书)。
2、在 Firefox 中打开 about:preferences#privacy → “证书” → “查看证书” → “权威机构”标签页。
3、点击导入,选择导出的中间证书文件(.crt 或 .pem 格式)。
4、勾选信任此证书用于识别网站,完成导入。
