确认证书是否真为微型ECC证书

在报错页面点击“高级”→“导出证书”，保存成.crt文件。用记事本打开，如果内容以-----BEGIN CERTIFICATE-----开头，并且里面包含secp256k1、brainpool或ECDSA字样，那基本可以断定是新型ECC微型证书。普通RSA证书或标准NIST ECC（比如secp256r1）不会触发这个报错。

这一步不能跳过——很多所谓“ECC证书”实际仍然是secp256r1，报错的原因另有隐情。

升级Firefox至最新ESR或稳定版

旧版的Firefox，特别是115.x ESR之前的版本，NSS库根本不认识secp256k1这类新兴曲线。所以，升级是必须的。

操作方式

• 去Mozilla官方ESR下载页，下载Firefox 128.0 ESR或更高版本。
• 彻底卸载旧版（配置文件可以保留）。
• 安装新版。

注意：只覆盖安装没用，必须彻底卸载再重装，不然NSS库还是旧的，问题照旧。

手动启用实验性ECC支持（适用于无法升级的场景）

如果因为某些原因没法升级浏览器，可以走两条手动路线。

方法一：强制加载现代ECC算法

• 在地址栏输入about:config，点击“我了解此风险”。
• 搜索security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256。
• 如果这项不存在，右键点“新建”→“布尔值”，名称填入security.ssl3.ecdhe_ecdsa_aes_128_gcm_sha256，值设为true。

方法二：解除曲线白名单限制

• 还是在about:config中，搜索security.ssl.ecdh_curve_list。
• 双击修改它的值为secp256r1,secp384r1,secp256k1,brainpoolP256r1，然后回车确认。

注意：修改后必须关闭所有Firefox进程，连后台的任务栏图标也得关，否则新设置不会生效。

验证证书链完整性

微型ECC证书经常出现一个尴尬的情况：服务器错误地省略了中间证书，导致Firefox无法构建出完整的信任路径。

排查方法

• 第一步：访问https://www.ssllabs.com/ssltest/，输入域名进行检测。
• 第二步：查看报告中的“Certification Paths”项，如果显示“Chain issues: Incomplete”或“Missing intermediate”，那问题就明确了。
• 第三步：联系服务器管理员，要求将ECC中间证书（通常是.pem格式）与站点证书合并部署，或者在Web服务器配置中显式指定路径——Apache用SSLCertificateChainFile，Nginx用ssl_trusted_certificate。

这一步非常关键。即使前面所有ECC选项都启用了，证书链断裂依然会导致sec_error_untrusted_issuer错误，而且无法通过添加例外来解决。

《夸克》非常好用的免费AI浏览器

下载APP查看