Configurações: WinXP / FF ESR 52.6.0, Win7 / FF 56.0.2
É preciso manter o mesmo padrão para complementos legados e muito mais.
Depois que meu provedor de webmail esqueceu de renovar o certificado de segurança, mesmo depois de renovar, ainda não consegui acessar a página deles em nenhuma das máquinas, exceto no Chrome no Win7. Eles alegaram que estava tudo bem, embora não fosse para mim.
Mensagens de erro ligeiramente alteradas, então, diziam, em FF:
[www.netaddress.com] usa um certificado de segurança inválido.
O certificado não é confiável porque o certificado do emissor é desconhecido. O servidor pode não estar enviando os certificados intermediários apropriados. Pode ser necessário importar um certificado raiz adicional.
Código de erro: SEC_ERROR_UNKNOWN_ISSUER
e no Chrome:
O classic.netaddress.com normalmente usa criptografia para proteger suas informações. Quando o Google Chrome tentou se conectar ao classic.netaddress.com desta vez, o site retornou credenciais incomuns e incorretas. Isso pode acontecer quando um invasor tenta se passar por classic.netaddress.com ou quando uma tela de login Wi-Fi interrompe a conexão. Suas informações ainda estão seguras porque o Google Chrome interrompeu a conexão antes que qualquer dado fosse trocado.
Você não pode visitar [classic.netaddress.com] neste momento porque o site usa HSTS. Erros e ataques de rede geralmente são temporários, então esta página provavelmente funcionará mais tarde.
Ao executar um teste de servidor SSL no certificado, ele retornou:
Problemas de corrente Ordem incorreta, Contém âncora
Adicionar uma exceção de certificado no FF não funcionou.
Existem versões atuais do Firefox disponíveis que provavelmente rodariam no Windows XP. No momento, o instalador do Firefox v. 136, com certificados atualizados, pode ser baixado.
Dito isso, faz pouco sentido usar um sistema operacional que não tem suporte há tanto tempo e acumulou tantos problemas de segurança, e ainda usá-lo na internet . É compreensível que alguns equipamentos, como máquinas de bordar específicas, precisem usar o XP, mas esse sistema operacional poderia ser executado dentro de uma máquina virtual em um sistema operacional mais seguro .
SOLUÇÃO, fornecida por dave_thompson_085 (em um comentário, por que estou adicionando aqui)
SOMENTE para WinXP e Win7/FF
"Supondo que www.netaddress.com seja o nome real e não uma redação, é verdade que eles estão enviando a cadeia de forma incorreta, mas o Firefox (e outros navegadores principais) consegue lidar com isso desde que me lembro (e desde 2018 — logo após as versões do Firefox — o TLS1.3 até o torna semioficial).
Um problema mais provável é que eles estejam usando essa raiz SSL.com emitida em meados de 2017 ( https://crt.sh/?id=163978581 , há um link para baixar o arquivo na primeira coluna — minha edição), que provavelmente ainda não era aceita no NSS nas suas versões do Firefox; procure em Ferramentas / Opções / Avançado / Certificados / Exibir Certificados / Autoridades e, se não estiver lá, adicione-o.