Применяется ли использование badidea или thisisunsafe для обхода ошибки сертификата Chrome / HSTS только для текущего сайта? [закрыто]

Question 1

Закрыто. Этот вопрос не соответствует рекомендациям по переполнению стека . В настоящее время он не принимает ответы.

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow.

Закрыт 2 года назад .

Уточните этот вопрос

Иногда и особенно очень часто при разработке веб-приложения Chrome не позволяет посещать определенные сайты и выдает ошибку сертификата / HSTS. Я обнаружил, что ввод badidea(совсем недавно thisisunsafe) в окне Chrome сообщит Chrome пропустить проверку сертификата.

Работает ли это решение только для определенного сайта или Chrome игнорирует ошибки сертификата / HSTS для всех сайтов после того, как я использую это ключевое слово?

Question 2

Это индивидуально для каждого сайта. Таким образом, если вы наберете это один раз, вы пройдете только через этот сайт, а для всех других сайтов потребуется аналогичное сканирование.

Он также запоминается для этого сайта, и вы должны нажать на замок, чтобы сбросить его (чтобы вы могли ввести его снова):

Излишне говорить, что использование этой «функции» - плохая идея и небезопасно - отсюда и название.

Вы должны выяснить, почему сайт показывает ошибку, и / или прекратить ее использовать, пока они не исправят ее. HSTS специально добавляет защиту от плохих сертификатов, чтобы вы не нажимали на них. Тот факт, что это необходимо, говорит о том, что с https-соединением что-то не так - например, сайт или ваше соединение с ним были взломаны.

Разработчики Chrome также периодически меняют это. Недавно они изменили его с badideaна, thisisunsafeпоэтому все badidea, кто пользуется , внезапно перестали его использовать. Вы не должны зависеть от этого. Как Штеффен указал в комментариях ниже, он будет доступен в коде, если он снова изменится, хотя теперь они кодируют его в base64, чтобы сделать его более неясным. В последний раз, когда они меняли, они поместили этот комментарий в коммит :

Поверните ключевое слово для обхода межстраничных объявлений

Ключевое слово обхода межстраничных объявлений безопасности не изменилось за два года, и осведомленность об обходе повысилась в блогах и социальных сетях. Поверните ключевое слово, чтобы предотвратить неправильное использование.

Я думаю, что идея команды Chrome ясна - вы не должны его использовать. Меня не удивит, если в будущем они удалили его полностью.

Если вы используете это при использовании самозаверяющего сертификата для локального тестирования, то почему бы просто не добавить свой самозаверяющий сертификат сертификата в хранилище сертификатов вашего компьютера, чтобы вы получили зеленый замок и не вводили его? Примечание. Chrome SANтеперь настаивает на поле в сертификатах, поэтому, если просто использовать старое subjectполе, даже добавление его в хранилище сертификатов не приведет к появлению зеленого замка.

Если вы оставите сертификат ненадежным, некоторые вещи не будут работать. Кеширование, например, полностью игнорируется для ненадежных сертификатов . Как и HTTP / 2 Push .

HTTPS никуда не денется, и нам нужно привыкнуть к его правильному использованию - и не обходить предупреждения с помощью взлома, который может измениться и не работает так же, как полное решение HTTPS.

Question 3

Я разработчик PHP и, чтобы иметь возможность работать в своей среде разработки с сертификатом, я смог сделать то же самое, найдя настоящий сертификат SSL HTTPS / HTTP и удалив его.

Шаги следующие:

В адресной строке введите «chrome: // net-internals / # hsts».
Введите имя домена в текстовое поле под надписью «Удалить домен».
Нажмите кнопку «Удалить».
Введите имя домена в текстовое поле под «Домен запроса».
Нажмите кнопку «Запрос».
Ваш ответ должен быть «Не найдено».

Дополнительную информацию можно найти по адресу: http://classically.me/blogs/how-clear-hsts-settings-major-browsers.

Хотя это решение не самое лучшее, на данный момент у Chrome нет хорошего решения. Я сообщил об этой ситуации в их службу поддержки, чтобы улучшить взаимодействие с пользователем.

Изменить: вам нужно повторять шаги каждый раз, когда вы заходите на производственный сайт.

Question 4

Ошибки SSL часто возникают из-за программного обеспечения для управления сетью, такого как Cyberroam.

Чтобы ответить на ваш вопрос,

вы будете должны ввести badidea в Chrome каждый раз , когда вы посещаете веб - сайт.

Иногда вам может потребоваться ввести его более одного раза, так как сайт может пытаться задействовать различные ресурсы перед загрузкой, что вызывает несколько ошибок SSL.

Answer 1 · 2018-04-16 21: 40: 37Z

Закрыто. Этот вопрос не соответствует рекомендациям по переполнению стека . В настоящее время он не принимает ответы.

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow.

Закрыт 2 года назад .

Уточните этот вопрос

Иногда и особенно очень часто при разработке веб-приложения Chrome не позволяет посещать определенные сайты и выдает ошибку сертификата / HSTS. Я обнаружил, что ввод badidea(совсем недавно thisisunsafe) в окне Chrome сообщит Chrome пропустить проверку сертификата.

Работает ли это решение только для определенного сайта или Chrome игнорирует ошибки сертификата / HSTS для всех сайтов после того, как я использую это ключевое слово?

Answer 2

Это индивидуально для каждого сайта. Таким образом, если вы наберете это один раз, вы пройдете только через этот сайт, а для всех других сайтов потребуется аналогичное сканирование.

Он также запоминается для этого сайта, и вы должны нажать на замок, чтобы сбросить его (чтобы вы могли ввести его снова):

Излишне говорить, что использование этой «функции» - плохая идея и небезопасно - отсюда и название.

Вы должны выяснить, почему сайт показывает ошибку, и / или прекратить ее использовать, пока они не исправят ее. HSTS специально добавляет защиту от плохих сертификатов, чтобы вы не нажимали на них. Тот факт, что это необходимо, говорит о том, что с https-соединением что-то не так - например, сайт или ваше соединение с ним были взломаны.

Разработчики Chrome также периодически меняют это. Недавно они изменили его с badideaна, thisisunsafeпоэтому все badidea, кто пользуется , внезапно перестали его использовать. Вы не должны зависеть от этого. Как Штеффен указал в комментариях ниже, он будет доступен в коде, если он снова изменится, хотя теперь они кодируют его в base64, чтобы сделать его более неясным. В последний раз, когда они меняли, они поместили этот комментарий в коммит :

Поверните ключевое слово для обхода межстраничных объявлений

Ключевое слово обхода межстраничных объявлений безопасности не изменилось за два года, и осведомленность об обходе повысилась в блогах и социальных сетях. Поверните ключевое слово, чтобы предотвратить неправильное использование.

Я думаю, что идея команды Chrome ясна - вы не должны его использовать. Меня не удивит, если в будущем они удалили его полностью.

Если вы используете это при использовании самозаверяющего сертификата для локального тестирования, то почему бы просто не добавить свой самозаверяющий сертификат сертификата в хранилище сертификатов вашего компьютера, чтобы вы получили зеленый замок и не вводили его? Примечание. Chrome SANтеперь настаивает на поле в сертификатах, поэтому, если просто использовать старое subjectполе, даже добавление его в хранилище сертификатов не приведет к появлению зеленого замка.

Если вы оставите сертификат ненадежным, некоторые вещи не будут работать. Кеширование, например, полностью игнорируется для ненадежных сертификатов . Как и HTTP / 2 Push .

HTTPS никуда не денется, и нам нужно привыкнуть к его правильному использованию - и не обходить предупреждения с помощью взлома, который может измениться и не работает так же, как полное решение HTTPS.

Answer 3

1

Спасибо, @BazzaDP, однако это работает не только для конкретной сессии. Я использую самозаверяющий сертификат, что хорошо с точки зрения доверия.

sk1llfull

Answer 4

Вы правы, глядя на то, как это реализовано .

Стефан

Answer 5

1

@FranklinYu он всегда сохранялся, но если вы хотите восстановить предупреждения, вы можете нажать на замок, а затем нажать «Повторно включить предупреждения для этого сайта».

dragon788

Answer 6

3

Если они так заботятся о безопасности, почему нажатие на замок не показывает никакой информации об используемой цепочке сертификатов?

LtWorf

Answer 7

3

Потому что никто не смотрел на это, кроме экспертов - которые могли получить его из инструментов разработчика на вкладке «Безопасность». Лично я думал, что было хуже, когда они помещали туда слишком много информации ( security.stackexchange.com/questions/52834/… ). Но да, я согласен с вами, что приятно видеть полный сертификат для тех, кто хочет и рад, что они вернули его - возможно, вы этого не заметили, но теперь, если вы нажмете на «Сертификат (действителен)» В тексте вы увидите обычное системное диалоговое окно, включая цепочку.

Barry Pollard

Answer 8

Я разработчик PHP и, чтобы иметь возможность работать в своей среде разработки с сертификатом, я смог сделать то же самое, найдя настоящий сертификат SSL HTTPS / HTTP и удалив его.

Шаги следующие:

В адресной строке введите «chrome: // net-internals / # hsts».
Введите имя домена в текстовое поле под надписью «Удалить домен».
Нажмите кнопку «Удалить».
Введите имя домена в текстовое поле под «Домен запроса».
Нажмите кнопку «Запрос».
Ваш ответ должен быть «Не найдено».

Дополнительную информацию можно найти по адресу: http://classically.me/blogs/how-clear-hsts-settings-major-browsers.

Хотя это решение не самое лучшее, на данный момент у Chrome нет хорошего решения. Я сообщил об этой ситуации в их службу поддержки, чтобы улучшить взаимодействие с пользователем.

Изменить: вам нужно повторять шаги каждый раз, когда вы заходите на производственный сайт.

Answer 9

4

Ошибки SSL часто возникают из-за программного обеспечения для управления сетью, такого как Cyberroam.

Чтобы ответить на ваш вопрос,

вы будете должны ввести badidea в Chrome каждый раз , когда вы посещаете веб - сайт.

Иногда вам может потребоваться ввести его более одного раза, так как сайт может пытаться задействовать различные ресурсы перед загрузкой, что вызывает несколько ошибок SSL.

Пауло
источник

Если это не сработает, смотрите здесь и здесь

sanmai

Вам нужно будет вводить это только для каждого нового домена / субдомена, который вы посещаете, если вы доверяете сертификату (даже если он недействителен), который Chrome запоминает за вас.

dragon788

2

Обратите внимание, что, как уже упоминалось в самом вопросе, кодовая фраза снова изменилась. Начиная с Chrome 65 это так thisisunsafe.

Грег А. Вудс

где вы набираете это небезопасно? В адресной строке?

user2026318

2

@ user2026318 Вы просто набираете его, пока находитесь на странице выдачи сертификата

sparkhee93

Answer 10

Если это не сработает, смотрите здесь и здесь

sanmai

Answer 11

Вам нужно будет вводить это только для каждого нового домена / субдомена, который вы посещаете, если вы доверяете сертификату (даже если он недействителен), который Chrome запоминает за вас.

dragon788

Answer 12

2

Обратите внимание, что, как уже упоминалось в самом вопросе, кодовая фраза снова изменилась. Начиная с Chrome 65 это так thisisunsafe.

Грег А. Вудс

Answer 13

где вы набираете это небезопасно? В адресной строке?

user2026318

Answer 14

2

@ user2026318 Вы просто набираете его, пока находитесь на странице выдачи сертификата

sparkhee93

Применяется ли использование badidea или thisisunsafe для обхода ошибки сертификата Chrome / HSTS только для текущего сайта? [закрыто]

Ответы: