Chrome:ウェブサイトはHSTSを使用しています。ネットワークエラー…このページはおそらく後で動作します


161

私はlocalhostに対して開発しています。今朝、フィドラーを使用した直後に、Chromeでこのエラーが発生し始めました(Firefoxで正しく動作します)

「ウェブサイトはHSTSを使用しているため、現在localhostにアクセスできません。ネットワークエラーと攻撃は通常一時的なものであるため、このページは後で動作する可能性があります。」 ここに画像の説明を入力してください

現在、localhostは、fiddlerが実行されている場合にのみchromeで動作します。私はすでに、フィドラーがシャットダウンするときにフィドラーが行うプロキシリダイレクトが修正されることを確認しました。

また、信頼されたルートに証明書をインポートして、ブラウザー(およびマシン)を再起動してみました。


2
IT管​​理者がポリシーを変更すると、この問題が発生します。私がする必要があるのは、コマンドを実行することです:gpupdate / force
Jacob Phan

回答:


189

これを回避する非常に簡単な方法の1つは、「接続はプライベートではありません」画面を表示している場合です。

タイプ badidea

タイプthisisunsafe(新しいパスフレーズを見つけるためのJava Guyクレジット)

これにより、たとえばこのHSTSの場合のように、Chromeでクリックスルーによる例外の設定が許可されていない場合に、セキュリティ例外が許可されます。

これは、ローカル接続とローカルネットワーク仮想マシンにのみ推奨されますが、直接のローカルホスト接続だけでなく、開発に使用されているVM(ポート転送ローカル接続など)でも機能するという利点があります。

注:Chrome開発者は過去にこのパスフレーズを変更しており、再度変更する可能性があります。機能しbadideaなくなった場合、新しいパスフレーズを覚えたら、ここにメモを残してください。私も同じようにしようとします。

編集:2018年1月30日現在、このパスフレーズは機能していないようです。

新しいものが見つかれば、ここに投稿します。それまでの間、このStackoverflowの投稿で概説されている方法を使用して、自己署名証明書をセットアップする時間を取ります。

opensslで自己署名証明書を作成する方法は?

編集:2018年3月1日およびChromeバージョン64.0.3282.186以降、このパスフレーズは.devサイトのHSTS関連のブロックに対して再び機能します。

編集:2018年3月9日およびChromeバージョン65.0.3325.146以降、badideaパスフレーズは機能しなくなります。

編集2:自己署名証明書の問題は、最近のセキュリティ基準の厳格化により、独自のエラーがスローされることです(たとえば、nginxは、SSL / TLS証明書のロードを拒否します権限のチェーン内の自己署名証明書(デフォルト)。

私が今行っている解決策は、すべての.appおよび.dev開発サイトのトップレベルドメインを.testまたは.localhostに交換することです。ChromeとSafariは、標準のトップレベルドメイン(.appを含む)への安全でない接続を受け付けなくなります。

標準のトップレベルドメインの現在のリストは、特別な用途のドメインを含め、このWikipediaの記事にあります。

ウィキペディア:インターネットトップレベルドメインのリスト:特別な用途のドメイン

これらのトップレベルドメインは、新しいhttpsのみの制限から除外されているようです。

  • 。地元
  • .localhost
  • 。テスト
  • (カスタム/非標準のトップレベルドメイン)

詳細については、回答とコーディングハンドから元の質問へのリンクを参照してください。

コーディングハンドからの回答


18
このようなことは聞いたことがありませんが、何らかの理由で機能します!ありがとう!
Alexey

大規模な助け!どうもありがとうございます!
RHSmith159

私はこれがうまくいくとは信じられませんが、実際にはうまくいきます。これが文書化されていないことに私が満足すべきか腹を立てるかはわかりません。私は何年にもわたって、Dev環境でこのがらくたに対処するためにHOURSを費やしてきました。
スコットバイヤーズ

7
thisisunsafeinsreadを使用しbadideaます。これは新しいバージョンで変更されました
The Java Guy

これは+1で機能しますが、
Chrome

186

以前にhttps:// localhostにアクセスしたとき、ある時点で安全なチャネル(httpではなくhttps)経由でこれにアクセスしただけでなく、特別なHTTPヘッダーを使用してブラウザーに通知しました:Strict-Transport-Security(HSTSと略されることが多い) )、今後のすべての訪問ではhttpsのみを使用する必要があります。

これは、Webサーバーがhttpにダウングレードされるのを防ぐために使用できるセキュリティ機能です(意図的または何らかの悪意のある者による)。

ただし、その後httpsサーバーをオフにし、httpを参照したいだけの場合はできません(設計上、これがこのセキュリティ機能のポイントです)。

HSTSはまた、過去の証明書エラーを受け入れてスキップすることを防ぎます。

これをリセットしてHSTSがlocalhostに設定されないようにするには、Chromeのアドレスバーに次のように入力します。

chrome://net-internals/#hsts

「localhost」のこの設定を削除できる場所。

また、今後この問題を回避するためにこれを設定しているものを確認することもできます。

他のサイト(www.google.comなど)の場合、これらはChromeコードに「プリロード」されているため、削除できません。それらをchrome:// net-internals /#hstsでクエリすると、staticHSTSエントリとしてリストされます。

そして最後に、Googleが.devドメイン全体のHSTSのプリロードを開始したことに注意してくださいhttps ://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/


これはgmail.comで取得しています。私はchrome:// net-internals /#hstsにアクセスしてgmail.comにクエリを送信し、Found:static_sts_domain:gmail.com static_upgrade_mode:STRICTを取得しました。ドメインを削除しようとしましたが、まだ問題が解決していません。
パイエゴ2015

この答えは私には理にかなっています。しかし、私の問題は、ウェブサイトのネームサーバーをワードプレス(ホストされているワードプレス)からサーバー(セルフホストされている)に変更したことです。キャッシュを削除せずに訪問者のためにそれを回避する方法はありますか?
TomC 2016

2
基本的に唯一の答えは、今後HTTPSを使用するか、ユーザーがそれをキャッシュしていないことを望みます。HTTPSは、LetsEncryptからの道のりであり、無料です。また、誰かがあなたのサイトをブラウザのコードにプリロードしたかどうかをチェックする必要がありますが、自分でリセットできるかどうかはわかりません。Wordpressが自動的にHSTSを追加することを知らないので、どうやってそれがそこにあるのか疑問に思います。
Barry Pollard 2016

@BazzaDPに感謝-これを回避する方法がわかりません。ネームサーバーを元に戻し、古いサイトでHTTPSを強制していたものを見つけてから、もう一度移行する必要があるかもしれません。Wordpressがホストするブログから新しいサイトに単純にFTPすることはできません。これが私にとって問題であり、新しいサイトの所有者はSSL証明書を持っていません(とにかく1つ取得することを真剣に検討しています)
TomC

2
私の回答で述べたように、プリロードされた(または静的なSTS)エントリは、ローカルに保持されているリストではなくChromeコードに存在するため、削除できません。そして、私の回答の最後の行にあるように、Googleは開発ドメイン全体をプリロードすることを決定しました。
Barry Pollard 2017

22

クロムウィンドウの任意の場所をクリックし、thisisunsafebadidea以前の代わりに)クロムを入力します。

このパスフレーズは将来変更される可能性があります。これはソースです

https://chromium.googlesource.com/chromium/src/+/master/components/security_interstitials/core/browser/resources/interstitial_large.js#19

その行によるとwindow.atob('dGhpc2lzdW5zYWZl')、ブラウザコンソールに入力すると、実際のパスフレーズが表示されます。

今回はパスフレーズはthisisunsafeです。


19

XAMPPでプライベートホスト名を実行しているサイトでこの問題が発生しました。それほどプライベートではないことが判明しました!それらはすべてdomain.devGoogleがプライベートgTLDとして登録し、ドメインレベルでHSTSを強制しています。すべての仮想ホストを.devel(eugh)に変更し、Apacheを再起動しました。


この問題はOpera 50.0.2762.9で確認でき、開発ドメインをから.devに変更.develして制限を回避できます。
コートニーマイル

5
RFC 2606は、特にプライベートテストとの競合を防ぐために、いくつかのトップレベルドメインを予約しています。それ.testはおそらく開発環境のために切り替えるのに最も正しいもののようです。
コートニーマイル

これは、クロムがなぜ私の.devローカルホストドメインでそのように機能していたのか理解できなかった日々の後に、文字通り私の人生を救いました...知っている神...
D. Petrov

まあ、実際には.testは、現在または新しいDNS関連コードのテストでの使用のみをお勧めします。
Alexey

これで私の問題は解決しました。私は開発環境にLaragonを使用しています。
クレイグ

12

CloudFlare Origin CAを使用してドメインにアクセスしようとしたときに、最近同じ問題が発生しました。

Chrome(Windowsビルド)でHSTS証明書の例外を回避または回避するために私が見つけた唯一の方法は、https://support.opendns.com/entries/66657664の短い手順に従っていました。

回避策:
Chromeのショートカットにフラグを追加してから--ignore-certificate-errors、もう一度開いてWebサイトにアクセスします。

注意:
開発目的でのみ使用してください。

ここに画像の説明を入力してください


おそらく、Google Canaryで試してください。ビルドgoogle.com/chrome/browser/canary.html
Binyamin

証明書エラーの原因となるサイトがないとします。次に、ソリューションが機能するかどうかをどのように確認しますか?ここでは助けにはならない- stackoverflow.com/questions/41902367/...
MasterJoe2

Macのバージョンはどうですか?
Java Guy



2

同じエラーが発生し、シークレットモードでも同じ問題が発生します。この問題はChromeの履歴を消去することで解決します。


2

私はこの問題に長い間苦しんでいます。GitHubのようなWebサイトを開くことができませんでした。私はほとんどすべての答えをウェブで試しましたが、誰も働いていませんでした。クロムも再インストールしようとしました。私はネットワーク担当者からこれに対する解決策を見つけ、それはうまくいきました。レジストリに修正があり、このエラーを永続的に解決します。

  1. 押しのWindows + Rオープン実行]ダイアログボックスの鍵
  2. タイプ:regedit、Enter キーを押してレジストリを開く
  3. 左側のツリービューで、次のパスHKEY_LOCAL_MACHINE> SOFTWARE> POLICIES> Microsoft> SystemCertificate> Authrootをクリックし ます。
  4. 次に、右側のDisableRootAutoUpdateをダブルクリックし、表示されるダイアログボックスで0(ゼロ)に設定します。
  5. PCを再起動してレジストリの変更を適用すると、このエラーは発生しなくなります

上記の解決策はWindows 8向けです。それ以降のバージョンでもほぼ同じですが、XPやVistaなどの以前のバージョンではわかりません。確認する必要があります。


このオプションの意味を知っていますか?
MasterJoe2 2017年

@ testerjoe2:いいえ、サー
Maulik Modi 2017

1
このgoogle-analytics.comと他のさまざまなgoogleドメインに悩まされていました。この答えは私の問題を解決しました。
Shawn

support.microsoft.com/en-us/help/2813430/…の記事では、Windows Vistaのパッチで導入されたキーの動作について説明しています。この特定の値を0に設定すると、更新されたルート証明書がWindows Updateから自動的にフェッチされ、信頼されたルート証明機関ストアにインストールされます。エンタープライズ環境では、これはセキュリティ対策としてオフにすることができます。ただし、これは、信頼されたルート証明機関をエンタープライズレベルで管理する必要があることを意味します。
JamieSee
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.