是否可以在系统范围内或至少在 Firefox 上禁用证书颁发机构？

建议的问题有所帮助，但那里的答案不包含相关示例：

sudo apt install libnss3-tools
certutil -D -d ~/.mozilla/firefox/{profile}/ -n "{CA nickname}"

西蒙，您能否复制此答案并进行任何修改，我会将其标记为已解决？

删除本地 Firefox 用户配置文件中不需要的证书

当然，我会复制答案...要从您的个人 Firefox 证书存储中删除不需要的根 CA，您必须通过以下方式安装libnss3-tools和删除不需要的根 CAcertutil

$ sudo apt install libnss3-tools --yes
$ certutil -D -d ~/.mozilla/firefox/{profile}/ -n "{CA nickname}"

但是，我想专注于更通用、与用户无关和系统范围的解决方案。

为所有 Firefox 用户使用系统范围的证书存储（并为每个人删除不受信任的根 CA）

默认情况下，Firefox 使用自己的证书存储，其中包含硬编码的根 CA。在第一次启动时，这些证书被复制到用户的 Firefox 配置文件中。对于这些内置证书PKCS-11，使用了一个模块：

PKCS-11可以通过将 Firefoxlibnssckbi.so库替换为库来更改这些内置模块p11-kit。

$ sudo apt install p11-kit --yes
$ sudo mv /usr/lib/firefox/libnssckbi.so /usr/lib/firefox/libnssckbi.so.backup
$ sudo ln -s /usr/lib/x86_64-linux-gnu/pkcs11/p11-kit-trust.so /usr/lib/firefox/libnssckbi.so
$ sudo dpkg-divert --package firefox --add --rename \
  --divert /usr/lib/firefox/libnssckbi.so.backup /usr/lib/firefox/libnssckbi.so

简而言之：

• 安装p11-kit包
• 将默认PKCS-11设备库从移动libnssckbi.so到libnssckbi.so.backup
• p11-kit为库创建链接libnssckbi.so
• 注册包导流，避免在火狐收到更新时更换链接

在这些步骤之后重新启动 Firefox 并检查PKCS-11模块和注册的根 CA：

如果受信任的根 CA 被 修改sudo dpkg-reconfigure ca-certificates，所有 Firefox 实例将立即受到影响。