问题

Mozilla用于签署附加组件的中间签名证书已过期。这导致Firefox将使用该证书签名的附加组件视为不可信任。该问题正在Bugzilla 1548973和Mozilla博客上进行跟踪。

解决方案0：更新Firefox至66.0.5+或60.6.3+ ESR版本

Mozilla已发布了桌面和Android的Firefox 66.0.5版和60.6.3 ESR版，"其中包含了从5月3日起被禁用的附加组件重新启用的永久修复解决方案。"建议您将Firefox更新到最新版本。此次更新将替换掉研究工具，这意味着如果您仅为了获取此修复解决方案而启用了"研究工具"，一旦更新到当前版本的Firefox，您可以再次禁用它们。

对于那些选择不升级到当前版本的Firefox或Firefox ESR的用户，Mozilla计划发布一个适用于Firefox 52至65版本的更新。计划是它将是一个用户可安装的扩展程序。预期他们会在有更多信息可用时更新他们的博文。这是截止到5月8日19:28 EDT的所有可用信息。

要在Windows或MacOS上更新您的Firefox版本，请点击右上角的菜单，然后选择"帮助"，接着选择"关于Firefox"。然后更新应该会自动下载，并在您重新启动Firefox时应用。

并非所有Linux上的软件包管理器都已经发布了新版本。如果您的发行版的软件包管理器没有可用的更新，那么您可能需要采取手动更新（使用您偏好的方法）或尝试下面的解决方案之一。

解决方案0.5：对于那些不想升级的用户

截至2019年5月14日，Mozilla的博客列出了可以安装的扩展程序，供那些不想更新的旧版Firefox用户使用（重点添加）。
如果您正在运行Firefox版本61-65，并且1）没有收到部署的修复程序，2）不想更新到当前版本（其中包括永久修复程序）：请安装this extension来解决过期的安全证书问题并重新启用扩展和主题。
如果您正在运行Firefox版本57-60：请安装this extension来解决过期的安全证书问题并重新启用扩展和主题。
如果您正在运行Firefox版本47-56：请安装this extension来解决过期的安全证书问题并重新启用扩展和主题。
解决方案1：大多数桌面用户的自动解决方案：“Studies”

【注意：下面的修复需要您启用“研究”，这将允许Mozilla自动下载代码以在受影响的Firefox配置文件中运行（大多数用户只有一个配置文件）。此外，它要求您允许“允许Firefox向Mozilla发送技术和交互数据”。如果由于隐私问题您已关闭了这些选项，请考虑是否要执行此操作。您不必一直保持这些设置启用，但您需要启用它们以允许修复此问题的研究运行。“对于那些不想启用“研究”和向Mozilla报告数据的人，请参见解决方案3（以下；解决方案2默认情况下会向Mozilla和他们的合作伙伴发送数据）。使用该研究（解决方案1）通过替代方案3（直接下载）进行安装可能不会打开向Mozilla报告的功能，但我尚未对此进行测试。】

Mozilla在Release、Beta和Nightly的桌面用户中有一个解决方案，如果您启用了"Studies"。来自 Mozilla博客，作者 Kev Needham，根据 CC BY-SA 3.0许可发布的文章。
修复将在接下来的几个小时内自动应用于后台。无需采取任何主动步骤即可使附加组件重新正常工作。
请注意：此修复不适用于Firefox ESR或Firefox for Android。我们正在为两者发布修复，并将在这里和社交媒体上提供更新。
为了能够及时提供此修复，我们使用了研究系统。该系统默认启用，除非已禁用研究，否则无需采取任何操作。Firefox用户可以通过以下方式检查是否启用了研究：
- Firefox选项/首选项 -> 隐私与安全 -> 允许Firefox安装和运行研究（向下滚动以找到设置） 在重新启用附加组件后，可以再次禁用研究。 研究可能需要最多六个小时才能应用于Firefox。要检查修复是否已应用，请在地址栏中输入“about:studies”。如果修复已生效，您将看到如下所示的“hotfix-update-xpi-signing-intermediate-bug-1548973”： 您还可能在“活动研究”或“已完成研究”部分中看到“hotfix-reset-xpi-verification-timestamp-1548973”，这是修复的一部分。
Mozilla正在开发一种不需要研究系统的修复方法。他们意识到一些用户报告说，即使安装了上述两个研究，他们的扩展仍然被禁用。这个问题正在bug 1549078中进行追踪。

更快地安装研究

如果您启用了研究功能，Firefox可能需要最多6个小时才能检查这些新的研究。

备选方案1：设置Firefox更频繁地检查研究

用户David在博客评论中提出了以下建议，以便使Firefox更快地检查研究：

如果您暂时更改about:config中的“app.normandy.run_interval_seconds”值，并重新启动，然后在事情开始正常后将其改回21600（六小时），则可以将六小时的等待时间缩短到几秒钟。

我建议您不要将其设置为低于60秒。可以确定自从上次Firefox检查研究以来已经超过1分钟了，否则您早就安装了这些研究。使用类似60的数字将为您提供足够的时间来安装研究，并将数字设置回21600，而无需让Firefox持续检查研究。只需准备好在安装研究后将其改回21600，然后重新启动Firefox。

备选方案2：（无效）创建一个启用了研究的新配置文件并将研究复制到您的主配置文件中

我尝试从另一个配置文件中复制研究/补丁。手动将研究/补丁文件添加到另一个配置文件中没有起作用。以这种方式加载它会被识别为常规扩展。然而，它似乎使用WebExtension Experiments，而在Firefox发布版本中对普通扩展未启用。

很可能可以修改配置文件目录中的配置文件以使其工作（它们大多是JSON格式）。然而，我并没有深入研究它，找出需要的内容。

方案三：直接下载研究

看起来您可以通过直接访问用于下载的URL来直接安装主要的“研究”。我最初在Mozilla博客文章中看到了Samuel Vuorela在hotfix-update-xpi-intermediate@mozilla.com.xpi这个评论中提供的URL。

Machavity在这个问题上有一个答案，描述了他从该URL下载研究的经历，并详细介绍了在Mozilla的研究源中可以找到该URL的位置。正是他的答案让我尝试直接下载它，所以如果你觉得直接安装URL有帮助，请给他的答案点赞。在那个答案中描述了直接下载/安装研究*.xpi文件是可行的，但这样做不会使修复补丁显示在研究列表或附加组件列表中。如果Firefox后来通过研究更新下载它，它将显示为一项研究。

上述URL下载的内容与通过正常“研究”源安装后存储在扩展目录中的hotfix-update-xpi-intermediate@mozilla.com.xpi文件完全匹配。查看浏览器控制台表明，直接从下载安装并不会出现手动安装先前下载副本的*.xpi所具有的问题（即它没有使通过替代方案2安装变得无法使用的相同问题）。

---

解决方案2：使用开发者版或夜间版，并禁用签名检查（在Debian和Ubuntu 16.04上报告了Firefox 66.0.3版本的功能）
如果您安装Firefox开发者版或Firefox夜间版，您可以在about:config中将xpinstall.signatures.required设置为false。这将禁用扩展签名测试。
Firefox夜间版是Firefox开发的最前沿的每夜构建版本。只有在您愿意接受可能存在的任何错误的情况下才推荐使用。
开发者版和夜间版都会向Mozilla发送“数据 - 有时也会发送给我们（Mozilla）的合作伙伴 - 以帮助我们（Mozilla）处理问题并尝试新想法。了解分享的内容。”

Firefox允许您在一台计算机上同时安装多个版本的Firefox。就我个人而言，我安装了几个版本。一个相对简单的解决方案是安装开发者版，并将xpinstall.signatures.required设置为false。然后，您可以使用开发者版几天，直到Mozilla解决和修复整个问题。然后，您可以通过运行该版本切换回使用Firefox发布版。

在Mac或Windows上，将xpinstall.signatures.required设置为false不起作用于Beta或发布版本的Firefox。这样做没有效果。在Linux上，根据您的发行版，该设置可能会被遵守，并且在某些发行版的Firefox发布版本上起作用。

---

解决方案3：在发布/测试版本中禁用签名检查
首选解决方案是使用上述提到的“研究”方法。然而，如果这对您不起作用，您可以通过禁用签名检查来解决此问题。 签名检查是一项安全功能。禁用它会使Firefox变得不太安全。一旦Mozilla解决了他们的证书问题，建议您删除此代码以重新启用签名检查。在安装此代码以禁用签名检查时，您应该小心只安装那些您完全信任的扩展（例如，那些托管在Mozilla Add-ons上的扩展）。
注意：本答案的其余部分最初是从我在Stack Overflow上回答如何禁用Firefox附加组件的签名检查？的答案中复制过来的，但稍作修改。
在Firefox 66+（可能是60+）版本中禁用附加组件签名检查
以下说明将在安装文件的Firefox配置文件中禁用Firefox上的签名检查。您将要向Firefox配置文件目录下的chrome目录添加一些文件。
我已经在Firefox 66.0.3+上进行了测试。
从Firefox 69+开始，除了下面的说明之外，您还需要在about:config中将toolkit.legacyUserProfileCustomizations.stylesheets设置为true。如果它不存在，则需要创建它（右键单击上下文菜单中的“新建”）作为布尔选项。有关此选项的添加的更多详细信息，请参见Bugzilla 1541233。
据我所知，对于Firefox 65，需要一些稍微不同的代码。我相信当我为Firefox 66修改它时，我将那段代码留在了try / catch块中，但我对此不太确定。

如果你在about:config中将javascript.enabled设置为false，这将无效。该配置选项的默认值为true，因此除非你专门禁用了它，否则应该没问题。

我们将使用一种技术，允许你从存储在Firefox个人配置目录中的文件中在浏览器上下文中运行任意JavaScript代码。我从Haggai Nuchi的GitHub存储库：适用于Firefox Quantum的userChrome.js找到了如何做到这一点的方法。该代码在Firefox启动时运行一次，然后每次打开新窗口都会再次运行。

在Windows上，你的Firefox个人配置目录将是%appdata%\Mozilla\Firefox\Profiles\[profileID]。如果你只有一个配置文件，[profileID]将是%appdata%\Mozilla\Firefox\Profiles目录中唯一的目录。如果你有多个配置文件，你需要选择要将此黑客安装到哪个配置文件中。

一旦你进入到你的个人文件夹，如果还不存在的话，你需要创建一个名为chrome的文件夹。你将把下面的两个文件添加到该文件夹中：

• userChrome.css
• userChrome.xml

你需要在userChrome.css中插入以下代码，这个文件可以从Haggai Nuchi的GitHub仓库获取。

/*Enable userChrome.js */
/* Copyright (c) 2017 Haggai Nuchi
Available for use under the MIT License:
https://opensource.org/licenses/MIT
*/

@namespace url(http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul);

toolbarbutton#alltabs-button {
    -moz-binding: url("userChrome.xml#js");
}

你需要一个稍微修改过的userChrome.xml（与Haggai Nuchi的GitHub存储库中可用的版本略有不同）：

<?xml version="1.0"?>
<!-- Copyright (c) 2017 Haggai Nuchi
Available for use under the MIT License:
https://opensource.org/licenses/MIT
 -->
<!-- This has been modified from the version available from
https://github.com/nuchi/firefox-quantum-userchromejs/blob/master/userChrome.xml
to include code by Makyen to disable add-on signing. If you want to load an additional JavaScript
file of your own, please see the original file by Haggai Nuchi.
This modified version is released under both the MIT and CC BY-SA 3.0 licenses.
 -->

<bindings id="generalBindings"
   xmlns="http://www.mozilla.org/xbl"
   xmlns:xul="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul"
   xmlns:xbl="http://www.mozilla.org/xbl">

  <binding id="js" extends="chrome://global/content/bindings/toolbarbutton.xml#toolbarbutton-badged">
    <implementation>
        <constructor><![CDATA[
            //Worked on FF65 and lower. The 3 different resources are used in different versions of FF.
            try {
                Components.utils.import("resource://gre/modules/addons/XPIProvider.jsm", {}).eval("SIGNED_TYPES.clear()");
            } catch(e) {}
            try {
                Components.utils.import("resource://gre/modules/addons/XPIInstall.jsm", {}).eval("SIGNED_TYPES.clear()");
            } catch(e) {}
            try {
                Components.utils.import("resource://gre/modules/addons/XPIDatabase.jsm", {}).eval("SIGNED_TYPES.clear()");
            } catch(e) {}

            //Tested on Firefox 66
            try {
                const {XPCOMUtils} = ChromeUtils.import("resource://gre/modules/XPCOMUtils.jsm");
                XPCOMUtils.defineLazyModuleGetters(this, {
                    XPIDatabase: "resource://gre/modules/addons/XPIDatabase.jsm",
                });
                XPIDatabase.SIGNED_TYPES.clear();
                console.log('Add-on signing disabled.');
            } catch(e) {
                console.error(e);
            }
        ]]></constructor>
    </implementation>
  </binding>
</bindings>

在将这两个文件添加到您的个人资料的chrome目录后，您需要重新启动Firefox。您可以通过查找“Add-on signing disabled.”来验证代码是否正在运行Browser Console（在FF66+中；控制台输出可能不会显示在早期版本的Firefox中）。
由Firefox禁用或删除的附加组件可能不会自动启用。您可能需要重新安装它们，或者至少从about:addons手动启用它们。您可以通过将*.xpi文件拖放到Firefox窗口上并确认您要安装，或者转到Mozilla Add-ons上的附加组件页面来安装它们。
如果您想从Mozilla Add-ons获取任何特定扩展的*.xpi文件，您可以右键单击“安装”按钮，然后选择“另存为”或“移除”进行下载。

Firefox版本<57（左右）

如果您在使用Firefox 57之前的版本时遇到问题，请参考Stack Overflow上“如何禁用Firefox插件的签名检查？”这篇文章（我的回答）。我相信我已经整合了那个问题中的所有评论，但是评论中描述了其他人遇到的一些问题。
不幸的是，我不记得这种方法停止工作的Firefox版本是哪一个。我知道我曾在Firefox 54、55、52ESR和FF56.*上使用它。
我最初在这篇博客文章中找到了这个解决方案，该博客文章是这个答案中（略有修改的）代码的原始来源。进行这些更改将允许您在使用您修改的Firefox分发版时将未签名的插件安装到配置文件中。对于大多数人来说，这将是您的主要Firefox安装。但是，如果您安装了多个版本，则需要在每个安装中进行此修改。但是，一旦您进行了修改，它们将通过正常的Firefox更新保持不变。
你需要在Firefox安装目录中添加一些文件。你可以在mozillaZine上找到一个Windows、Linux和Mac OS的安装目录示例列表。最常见的安装目录有：

• Windows
  • C:\Program Files\Mozilla Firefox\
  • C:\Program Files (x86)\Mozilla Firefox\
• Linux
  • /usr/lib/firefox-<version>
• OSX
  • /Applications/Firefox.app

添加第一个文件

然后，你需要将以下代码添加为文件<安装目录>/defaults/pref/disable-add-on-signing-prefs.js（Windows：<安装目录>\defaults\pref\disable-add-on-signing-prefs.js）：

//This file should be placed in the defaults/pref directory (folder)
//within the Firefox installation directory with the with the name:
//  disable-add-on-signing-prefs.js
pref("general.config.obscure_value", 0);
pref("general.config.filename", "disable-add-on-signing.js");

添加第二个文件

您还需要将以下代码添加为文件<安装目录>/disable-add-on-signing.js（Windows: <安装目录>\disable-add-on-signing.js）：¹

//This file should be placed in the Firefox installation directory
//(folder) with the with the name:
//  disable-add-on-signing.js
try {
    Components.utils.import("resource://gre/modules/addons/XPIProvider.jsm", {})
              .eval("SIGNED_TYPES.clear()");
} catch(e) {}
try {
    Components.utils.import("resource://gre/modules/addons/XPIInstall.jsm", {})
              .eval("SIGNED_TYPES.clear()");
} catch(e) {}

结果

使用当前版本的Firefox，我已经使用这个解决方案一段时间了，可以安装一些我自己开发的扩展，并测试我正在开发的扩展的新版本（当我想要在发布版本中进行测试而不是Firefox开发者版或夜间版时）。

注意：在about:addons中，Firefox在某些情况下可能会显示插件已启用（未灰掉），但会显示插件“无法验证并已禁用”的文本。这个文本是不准确的！插件是已启用且正常工作的。

工作原理

[这是对旧代码的解释，但当前代码非常相似。]

在resource://gre/modules/addons/XPIProvider.jsm中，const SIGNED_TYPES被定义为一个Set。为了要求插件进行签名，其类型必须是该Set的成员之一。Set.prototype.clear()方法用于清除Set中的所有条目。这将导致不需要签名的插件类型（代码1，代码2）。
如果你愿意的话，你可以单独禁用任何类型的签名检查："webextension"、"extension"、"experiment"或"apiextension"。

中间代码签名证书已过期。这意味着所有使用该证书签名的附加组件将不再受信任。在这种情况下，浏览器正在执行其工作。

Mozilla将需要重新对附加组件进行签名和/或发布新的证书。目前正在进行修复工作。目前没有解决方案，除非您使用开发人员代码分支，您可以进入about:config并将xpinstall.signatures.required设置为false。

对于大多数用户来说，这将无效，并且如果您不将其设置回来，可能会使您面临一些安全风险。最好的选择是等待修复。我想他们会在几个小时内解决这个问题。

https://bugzilla.mozilla.org/show_bug.cgi?id=1548973

这个问题是由于附加证书的大规模过期引起的。正如其他人所提到的，修复工作正在进行中。
为了暂时重新启用附加组件，您可以导航到about:config并将xpinstall.signatures.required设置为false。
这将重新启用已过期证书的任何已安装的附加组件，但不建议长期保持启用。我建议在问题解决后立即关闭它。

我找到了另一种获取热修复程序的方法。这与上面提到的修复程序相同，但是尝试通过调整设置来下载Studies失败了，因此我找到了一个GitHub问题，描述了另一种安装热修复程序的方法。

• 完整的Mozilla Studies源（称为Normandy）位于https://normandy.cdn.mozilla.net/api/v1/recipe/
• 热修复程序称为Hotfix: Update XPI signing intermediate [Bug 1548973]
• 它给出的URL实际上是一个插件。如果您单击此链接（与源相同），将要求您安装插件。忽略警告并安装https://storage.googleapis.com/moz-fx-normandy-prod-addons/extensions/hotfix-update-xpi-intermediate@mozilla.com-1.0.2-signed.xpi

在这样做之后，我的插件立即开始工作了。我不知道你是否必须先启用研究（我已经启用了我的）。我也没有在扩展或研究窗口中显示它，所以要注意你可能无法禁用它（可能要等到研究自己更新）。
更新：我的浏览器最终获取了研究源，并且修复程序显示在about:studies中（将其放入URL栏中以查看所有研究），你可以确实删除它。因此，所有这些只是更快地使修复程序进入Firefox，但请务必启用研究如Makyen的回答中所述。

虽然接受的答案提到了量子之前的版本（FF <57），但对我来说没有起作用（我正在使用的是Firefox ESR-52.9）。经过几个小时的研究，我成功解决了这个问题。以下是我解决方法：

摘要

总体上，解决方案有三个步骤：

1. 获取更新的证书
2. 安装更新的证书
3. 重置插件状态

当然，在进行操作之前，您应该备份您的配置文件。

详情

1. 从Mozilla下载热补丁。 https://storage.googleapis.com/moz-fx-normandy-prod-addons/extensions/hotfix-update-xpi-intermediate@mozilla.com-1.0.2-signed.xpi

2. 解压缩它（.xpi实际上是.zip文件），并打开{提取的文件夹}/experiments/skeleton/api.js。

3. 从.js文件中，复制base64编码的中间证书，并粘贴到新的文本文件中。证书看起来像下面这样。只需复制双引号("")之间的字符串（MII...那一段）

 let intermediate = "MII...

解码base64编码的证书并保存为.der格式的证书。

进入选项-高级-证书-颁发机构，将证书安装为CA，并信任其以识别软件开发者。

打开您的个人资料页面并删除extensions.json、extensions.ini文件。注意：这将重置您的附加组件启用/安装状态！在执行此步骤之前备份您的个人资料。

重新启动FF并检查问题是否已解决。

更新以修复此问题应该会自动推送。如果没有，确保启用了允许Firefox安装和运行研究的选项。
从https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/复制过来的。

To provide this fix on short notice, we are using the Studies system. This system is enabled by default, and no action is needed unless Studies have been disabled. Firefox users can check if they have Studies enabled by going to:

Firefox Options/Preferences -> Privacy & Security -> Allow Firefox to install and run studies (scroll down to find the setting)