为什么火狐浏览器总是提示连接不安全且无法手动添加例外

火狐浏览器“连接不安全”且无法添加例外，说明证书错误属深层类型（如吊销、签名无效）或证书库损坏；需重置cert9.db、启用security.enterprise_roots.enabled、清理非法根证书并刷新OCSP/CRL缓存。

火狐浏览器反复提示“连接不安全”且点击“高级→接受风险并继续”后仍无法访问，甚至“添加例外”按钮灰显或操作无响应，说明当前证书异常已超出临时放行范畴，系统级信任链或浏览器自身证书机制已被破坏。

先确认是否真能手动添加例外

打开报错页面→点击“高级”→检查是否出现“接受风险并继续”链接。若该链接完全不显示，或点击后无反应、地址栏锁图标始终为红色叉号，【说明浏览器已禁用所有例外机制，或证书错误类型不支持例外】。常见于 SEC_ERROR_UNKNOWN_ISSUER（未知签发者）与 SEC_ERROR_EXPIRED_CERTIFICATE（证书过期）以外的深层错误，如 SEC_ERROR_REVOKED_CERTIFICATE（证书已被吊销）或 SEC_ERROR_BAD_SIGNATURE（签名无效），此时火狐强制阻断，不提供绕过入口。

检查证书管理器是否被锁定或损坏

在地址栏输入 about:preferences#privacy → 滚动到“证书”区域 → 点击“查看证书”。

若证书管理器窗口打不开、卡死、或“服务器”选项卡下“添加例外”按钮不可点，说明 Firefox 证书数据库可能已损坏。此时需重置证书库：关闭所有火狐窗口→在地址栏输入 about:support → 找到“配置文件夹”旁的“在文件管理器中打开”按钮→进入该文件夹→删除名为 cert8.db（旧版）或 cert9.db（新版）的文件→重启浏览器。该操作会清除所有手动导入的证书和例外，但系统默认信任的根证书不受影响。

排查 enterprise_roots 启用失败导致的连锁失效

方法一：启用系统级根证书同步

在地址栏输入 about:config → 点击“我了解此风险”→ 搜索 security.enterprise_roots.enabled → 若值为 false，双击切换为 true → 【必须彻底关闭所有火狐进程（包括后台任务栏残留）再重启，否则设置不生效】。

方法二：验证 Windows/macOS 根证书库是否真实可信

按下 Win+R → 输入 certmgr.msc（Windows）或打开“钥匙串访问”（macOS）→ 展开“受信任的根证书颁发机构”→ 查看是否存在名称含 ADsafe、NetKeeper、Zscaler、Qihoo、360 等字样的自签名根证书。若存在且非你主动安装，右键→“删除”→ 确认→ 重启火狐。这类证书常由国产安全软件静默注入，火狐拒绝信任其签发的任何子证书，且会直接屏蔽例外功能以防绕过。

强制刷新证书验证缓存

第一步：清空 TLS/SSL 会话缓存

在地址栏输入 about:config → 搜索 security.ssl.disable_session_identifiers → 双击设为 true → 等待 5 秒 → 再双击改回 false。

第二步：重载证书吊销列表（CRL）与 OCSP 响应

仍在此页面搜索 security.OCSP.enabled → 确保值为 1；再搜索 security.crl.enable → 同样确保为 1；最后搜索 security.OCSP.require → 若为 true，临时改为 false（仅调试用，验证后请改回）。这三步可强制火狐跳过已失效的吊销检查缓存，避免因本地缓存的过期 OCSP 响应导致误判。