Chrome: Trang web sử dụng HSTS. Lỗi mạng, trang này có thể sẽ hoạt động sau

Tôi đang phát triển chống lại localhost. Sáng nay ngay sau khi tôi sử dụng fiddler, tôi bắt đầu gặp lỗi này trên chrome (hoạt động chính xác trong firefox)

"Bạn không thể truy cập localhost ngay bây giờ vì trang web sử dụng HSTS. Các lỗi và tấn công mạng thường là tạm thời, vì vậy trang này có thể sẽ hoạt động sau."

Bây giờ localhost chỉ hoạt động trong chrome nếu fiddler đang chạy. Tôi đã chắc chắn rằng các chuyển hướng proxy mà fiddler thực hiện được sửa chữa khi fiddler tắt.

Tôi cũng đã thử nhập chứng chỉ vào root đáng tin cậy của mình và khởi động lại trình duyệt (và cả máy).

Một cách rất nhanh xung quanh vấn đề này là, khi bạn đang xem màn hình "Kết nối của bạn không riêng tư":

kiểu badidea

loại thisisunsafe(ghi có vào The Java Guy để tìm cụm mật khẩu mới)

Điều đó sẽ cho phép ngoại lệ bảo mật khi Chrome không cho phép ngoại lệ được đặt qua lần nhấp, ví dụ: đối với trường hợp HSTS này.

Rõ ràng, điều này chỉ được khuyến nghị cho các kết nối cục bộ và các máy ảo mạng cục bộ, nhưng nó có lợi thế là làm việc cho các VM được sử dụng để phát triển (ví dụ như trên các kết nối cục bộ chuyển tiếp cổng) và không chỉ các kết nối localhost trực tiếp.

Lưu ý: các nhà phát triển Chrome đã thay đổi cụm mật khẩu này trong quá khứ và có thể làm lại như vậy. Nếu badideangừng hoạt động, vui lòng để lại một ghi chú ở đây nếu bạn học cụm mật khẩu mới. Tôi sẽ cố gắng làm như vậy.

Chỉnh sửa: kể từ ngày 30 tháng 1 năm 2018 cụm mật khẩu này dường như không còn hoạt động.

Nếu tôi có thể săn lùng một cái mới, tôi sẽ đăng nó ở đây. Trong thời gian chờ đợi, tôi sẽ dành thời gian để thiết lập chứng chỉ tự ký bằng phương thức được nêu trong bài đăng stackoverflow này:

Làm thế nào để tạo chứng chỉ tự ký với openssl?

Chỉnh sửa: kể từ ngày 1 tháng 3 năm 2018 và Phiên bản Chrome 64.0.3282.186 cụm mật khẩu này hoạt động trở lại cho các khối liên quan đến HSTS trên các trang web .dev.

Chỉnh sửa: kể từ ngày 9 tháng 3 năm 2018 và Phiên bản Chrome 65.0.3325.146 badideacụm mật khẩu không còn hoạt động.

Chỉnh sửa 2: rắc rối với chứng chỉ tự ký dường như là, với các tiêu chuẩn bảo mật được siết chặt trong hội đồng quản trị ngày nay, chúng gây ra lỗi của chính họ (ví dụ, nginx từ chối tải chứng chỉ SSL / TLS bao gồm chứng nhận tự ký trong chuỗi thẩm quyền, theo mặc định).

Giải pháp tôi đang sử dụng bây giờ là trao đổi tên miền cấp cao nhất trên tất cả các trang web phát triển .app và .dev của tôi với .test hoặc .localhost. Chrome và Safari sẽ không còn chấp nhận các kết nối không an toàn cho các tên miền cấp cao tiêu chuẩn (bao gồm .app).

Danh sách hiện tại của các tên miền cấp cao tiêu chuẩn có thể được tìm thấy trong bài viết Wikipedia này, bao gồm các tên miền sử dụng đặc biệt:

Wikipedia: Danh sách các tên miền cấp cao nhất trên Internet: Tên miền sử dụng đặc biệt

Các tên miền cấp cao nhất này dường như được miễn trừ khỏi các hạn chế chỉ dành cho https mới:

• .local
• .localhost
• .kiểm tra
• (bất kỳ tên miền cấp cao nhất tùy chỉnh / không chuẩn)

Xem câu trả lời và liên kết từ mã hóa đến câu hỏi ban đầu để biết thêm thông tin:

câu trả lời từ bảng mã

Khi bạn đã truy cập https: // localhost trước đây tại một số điểm, nó không chỉ truy cập kênh này qua kênh bảo mật (https chứ không phải http), nó cũng nói với trình duyệt của bạn, sử dụng tiêu đề HTTP đặc biệt: Strict-Transport-Security (thường được viết tắt là HSTS ), rằng CHỈ nên sử dụng https cho tất cả các lượt truy cập trong tương lai.

Đây là một tính năng bảo mật mà các máy chủ web có thể sử dụng để ngăn chặn mọi người bị hạ cấp xuống http (do cố ý hoặc bởi một bên xấu nào đó).

Tuy nhiên, nếu sau đó bạn tắt máy chủ https của bạn và chỉ muốn duyệt http bạn không thể (theo thiết kế - đó là điểm của tính năng bảo mật này).

HSTS cũng ngăn bạn chấp nhận và bỏ qua các lỗi chứng chỉ.

Để đặt lại điều này, vì vậy HSTS không còn được đặt cho localhost, hãy nhập thông tin sau vào thanh địa chỉ Chrome của bạn:

chrome://net-internals/#hsts

Nơi bạn sẽ có thể xóa cài đặt này cho "localhost".

Bạn cũng có thể muốn tìm hiểu những gì đã được thiết lập để tránh vấn đề này trong tương lai!

Lưu ý rằng đối với các trang web khác (ví dụ www.google.com), những trang này được "tải sẵn" vào mã Chrome và do đó không thể xóa được. Khi bạn truy vấn chúng tại chrome: // net-internals / # hsts, bạn sẽ thấy chúng được liệt kê dưới dạng staticcác mục HSTS.

Và cuối cùng lưu ý rằng Google đã bắt đầu tải trước HSTS cho toàn bộ tên miền .dev: https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

Nhấp vào bất cứ nơi nào trong cửa sổ chrome và nhập thisisunsafe(thay vì badideatrước đó) trong chrome.

Cụm mật khẩu này có thể thay đổi trong tương lai. Đây là nguồn

https://chromium.googlesource.com/chromium/src/+/master/components/security_interstitials/core/browser/resource/interstitial_large.js#19

Theo dòng đó, nhập window.atob('dGhpc2lzdW5zYWZl')vào bảng điều khiển trình duyệt của bạn và nó sẽ cung cấp cho bạn cụm mật khẩu thực tế.

Lần này mật khẩu là thisisunsafe.

Tôi gặp vấn đề này với các trang web chạy trên XAMPP với tên máy chủ riêng. Không quá riêng tư, hóa ra! Chúng là tất cả domain.dev, mà Google hiện đã đăng ký là một gTLD riêng và đang buộc HSTS ở cấp tên miền. Đã thay đổi mọi máy chủ ảo thành .devel(eugh), khởi động lại Apache và tất cả đều ổn.

Gần đây tôi có cùng một vấn đề trong khi cố gắng truy cập các lĩnh vực sử dụng CloudFlare xứ CA .

Cách duy nhất tôi tìm thấy để khắc phục / tránh ngoại lệ chứng chỉ HSTS trên Chrome (bản dựng Windows) là làm theo các hướng dẫn ngắn trong https://support.opendns.com/entries/66657664 .

Giải pháp thay thế:
Thêm vào Chrome tắt cờ --ignore-certificate-errors, sau đó mở lại và lướt đến trang web của bạn.

Nhắc nhở: Chỉ
sử dụng cho mục đích phát triển.

Tôi thấy có rất nhiều câu trả lời hữu ích ở đây nhưng vẫn vậy, tôi bắt gặp một bài viết hữu ích và hữu ích ngoài kia. https://www.thesslstore.com/blog/clear-hsts-sinstall-chrom-firefox/

Tôi gặp vấn đề tương tự và bài báo đó đã giúp tôi biết chính xác nó là gì và làm thế nào để đối phó với HTH đó :-)

Gặp phải lỗi tương tự. đặt lại chrome: // net-internals / # hsts không hoạt động với tôi. Vấn đề là đồng hồ vm của tôi bị lệch theo ngày. Đặt lại thời gian đã làm việc để giải quyết vấn đề này. https://support.google.com/chromals/4454607?hl=vi

Tôi gặp lỗi tương tự và chế độ ẩn danh cũng có vấn đề tương tự. Tôi giải quyết vấn đề này bằng cách xóa lịch sử Chrome.

Tôi đã chịu đựng vấn đề này trong một thời gian rất dài. Tôi không thể mở các trang web như GitHub. Tôi gần như đã thử tất cả các câu trả lời trên web và không ai làm việc. Đã thử cài đặt lại chrome. Tôi tìm thấy giải pháp cho việc này từ anh chàng mạng của chúng tôi và nó đã hoạt động. Có một sửa chữa trong registry sẽ giải quyết lỗi này cho cơ sở vĩnh viễn.

1. Nhấn phím Windows + R để mở hộp thoại chạy
2. gõ: regedit và nhấn enter để mở registry
3. Trong chế độ xem dạng cây ở nhấp chuột trái qua đường dẫn sau HKEY_LOCAL_MACHINE> PHẦN MỀM> CHÍNH SÁCH> Microsoft> SystemCertert> Authroot
4. Bây giờ, nhấp đúp chuột vào DisableRootAutoUpdate ở bên phải và đặt thành 0 (không) trong hộp thoại xuất hiện
5. Khởi động lại PC của bạn để áp dụng các thay đổi đăng ký và bạn sẽ không gặp phải lỗi này nữa

Giải pháp trên là dành cho Windows 8. Nó gần như giống hệt trong các phiên bản sau nhưng tôi không chắc chắn cho các phiên bản trước như XP và vista. Vì vậy, cần phải được kiểm tra.