各主流浏览器的证书策略对比

IE, Safari (macOS), Edge, Chrome 都是系统证书，只有firefox使用自己的证书系统

Firefox 拥有自建的 NSS（Network Security Services）库，不依赖操作系统证书存储（macOS 除外可选）。
OCSP 优先级、Fallback 行为、CRLite 策略不同于 Chromium。
支持 CRLite full 和 partial 模式，通过 security.remote_settings.crlite_filters.enabled 控制。

firefox security.enterprise_roots.enabled 设为flase,才真正有效
security.certerrors.mitm.auto_enable_enterprise_roots 设为flase 更保险,禁止自动启用