it-roy-ru.com

Применяется ли 'badidea' или 'thisisunsafe' для обхода Chrome сертификата / ошибка HSTS только для текущего сайта?

Иногда и особенно очень часто при разработке веб-приложения Chrome не позволяет вам посещать определенные сайты и выдавать ошибку сертификата/HSTS. Я обнаружил, что ввод badidea (совсем недавно thisisunsafe) в окне Chrome скажет Chrome пропустить проверку сертификата.

Работает ли это решение только для определенного сайта или Chrome будет игнорировать ошибки сертификатов/HSTS для всех сайтов после того, как я использовал это ключевое слово?

54
sk1llfull

Это специфично для каждого сайта. Так что, если вы наберете это один раз, вы только пройдете через этот сайт, и все другие сайты будут нуждаться в подобном наборе.

Это также запоминается для этого сайта, и вы должны нажать на замок, чтобы сбросить его (чтобы вы могли набрать его снова):

enter image description here

Излишне говорить, что использование этой "функции" является плохой идеей и небезопасно - отсюда и название.

Вы должны выяснить, почему сайт показывает ошибку и/или прекратить ее использование, пока они не исправят ее. HSTS специально добавляет защиту для плохих сертификатов, чтобы вы не нажимали на них. Тот факт, что это необходимо, говорит о том, что с https-соединением что-то не так - например, сайт или ваше соединение с ним взломано.

chrome разработчики также периодически меняют это. Недавно они изменили его с badidea на thisisunsafe, поэтому все, кто использовал badidea, внезапно перестали его использовать. Вы не должны зависеть от этого. Как указал Стеффен в комментариях ниже, он доступен в коде если он снова изменится, хотя теперь они кодируют base64, чтобы сделать его более неясным. В последний раз, когда они менялись, они помещали этот комментарий в коммите :

Поверните ключевое слово промежуточного обхода

Ключевое слово для межшкольного обхода безопасности не изменилось за два года, и в блогах и социальных сетях возросла осведомленность об обходе. Поверните ключевое слово, чтобы предотвратить злоупотребление.

Я думаю, что сообщение от команды Chrome понятно - вам не следует его использовать. Меня не удивит, если они удалят его полностью в будущем.

Если вы используете это при использовании самоподписанного сертификата для локального тестирования, то почему бы просто не добавить свой самозаверяющий сертификат сертификата в хранилище сертификатов вашего компьютера, чтобы вы получили зеленый замок и не должны его набирать? Примечание Chrome настаивает на использовании поля SAN в сертификатах, поэтому, если просто использовать старое поле subject, то даже добавление его в хранилище сертификатов не приведет к зеленому замку.

Если вы оставите сертификат ненадежным, то некоторые вещи не будут работать. Например, кэширование полностью игнорируется для недоверенных сертификатов . Как есть HTTP/2 Push .

HTTPS здесь, чтобы остаться, и мы должны привыкнуть использовать его должным образом - и не обходить предупреждения хаком, который может измениться и не работает так же, как полноценное решение HTTPS.

42
Barry Pollard

Я являюсь PHP разработчиком и, чтобы иметь возможность работать в своей среде разработки с сертификатом, я смог сделать то же самое, найдя настоящий SSL-сертификат HTTPS/HTTP и удалив его.

Шаги:

  1. В адресной строке введите "chrome: // net-internals/# hsts".
  2. Введите имя домена в текстовое поле ниже "Удалить домен".
  3. Нажмите кнопку "Удалить".
  4. Введите имя домена в текстовое поле ниже "Запрос домена".
  5. Нажмите кнопку "Запрос".
  6. Ваш ответ должен быть "Не найден".

Вы можете найти дополнительную информацию по адресу: http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Хотя это решение не является лучшим, Chrome в настоящее время не имеет хорошего решения на данный момент. Я обострил эту ситуацию с их командой поддержки, чтобы помочь улучшить взаимодействие с пользователем.

Правка: вы должны повторять шаги каждый раз, когда будете заходить на производственную площадку.

5
aneth101

Ошибки SSL часто генерируются программным обеспечением для управления сетью, таким как Cyberroam.

Чтобы ответить на ваш вопрос,

вы будете должны вводить badidea в Chrome каждый раз, когда посещаете веб-сайт.

Время от времени может потребоваться ввести его несколько раз, поскольку сайт может пытаться использовать различные ресурсы перед загрузкой, что приводит к множественным ошибкам SSL

4
Paulo