Webアプリケーションを開発する場合、Chromeで特定のサイトにアクセスできず、証明書/ HSTSエラーがスローされることがあります。Chromeウィンドウにbadidea(最近thisisunsafe)入力すると、Chromeに証明書の検証をスキップするように指示されることがわかりました。
このソリューションは特定のサイトでのみ機能しますか、それともこのキーワードを使用した後、Chromeはすべてのサイトの証明書/ HSTSエラーを無視しますか?
「badidea」または「thisisunsafe」を使用してChrome証明書/ HSTSエラーをバイパスすることは、現在のサイトにのみ適用されますか?[閉まっている]
回答:
これは各サイトに固有です。したがって、一度入力すると、そのサイトを通過するだけで、他のすべてのサイトも同様のタイプスルーが必要になります。
そのサイトでも記憶されており、南京錠をクリックしてリセットする必要があります(もう一度入力できるように)。
言うまでもなく、この「機能」の使用は悪い考えであり、安全ではありません。そのため、この名前が付けられました。
サイトにエラーが表示されている理由を確認するか、修正されるまで使用を停止する必要があります。HSTSは特に、不正な証明書をクリックしないように保護を追加します。それが必要であるという事実は、https接続に何か問題があることを示唆しています-サイトやサイトへの接続がハッキングされているなどです。
Chrome開発者もこれを定期的に変更します。彼らは最近それをからbadideaに変更したthisisunsafeのでbadidea、使用しているすべての人が突然それを使用できなくなりました。あなたはそれに依存すべきではありません。Steffenが以下のコメントで指摘しているように、コードで再び変更された場合に利用できますが、現在はbase64でエンコードされているため、わかりにくくなっています。彼らが最後に変更したとき、彼らはこのコメントをコミットに入れました:
インタースティシャルバイパスキーワードをローテーションする
セキュリティインタースティシャルバイパスのキーワードは2年間変更されておらず、ブログやソーシャルメディアでバイパスの認知度が高まっています。誤用を防ぐためにキーワードをローテーションします。
Chromeチームからのメッセージは明確だと思います。使用しないでください。彼らが将来それを完全に削除しても、私は驚かないでしょう。
ローカルテストに自己署名証明書を使用するときにこれを使用している場合は、自己署名証明書をコンピューターの証明書ストアに追加するだけで、緑色の錠前が表示され、これを入力する必要がなくなります。ChromeはSAN現在、証明書のフィールドを要求しているため、古いものを使用するだけの場合はsubject要求しているため、フィールドでは、証明書ストアに追加しても緑色の南京錠は発生しません。
証明書を信頼しないままにしておくと、特定のことが機能しなくなります。たとえば、信頼できない証明書の場合、キャッシュは完全に無視されます。HTTP / 2プッシュも同様です。
HTTPSは定着しており、適切に使用することに慣れる必要があります。変更される可能性が高く、完全なHTTPSソリューションと同じようには機能しないハックで警告をバイパスしないでください。
1
@BazzaDPに感謝しますが、これは特定のセッションでのみ機能します。信頼性に優れた自己署名証明書を使用しています。
—
sk1llfull 2016
それがどのように実装されているかを見ると、あなたは正しいです。
—
ステファン
@FranklinYuは常に保持されていますが、警告を復元する場合は、南京錠をクリックしてから、[このサイトの警告を再度有効にする]をクリックします。
—
dragon788 2018年
彼らがセキュリティを非常に気にかけているのなら、なぜ南京錠をクリックしても、使用中の証明書チェーンに関する情報がまったく表示されないのですか?
—
ltWorf 2018年
専門家以外は誰もそれを見ていませんでした-彼らはセキュリティタブの下の開発者ツールからそれを得ることができました。個人的には、そこに情報を入れすぎるともっと悪いと思いました(security.stackexchange.com/questions/52834/…)。しかし、ええ、私はあなたに同意します。彼らがそれを持ち帰りたいと思っている人のために完全な証明書を見ることができてうれしいです-多分あなたはそれに気づいていなかったかもしれませんが、今あなたが「証明書(有効)」をクリックすると言葉遣いは、チェーンを含む通常のシステムダイアログボックスを見ることができます。
—
バリーポラード2018年
私はPHP開発者であり、証明書を使用して開発環境で作業できるようにするために、実際のSSL HTTPS / HTTP証明書を見つけて削除することで同じことができました。
手順は次のとおりです。
- アドレスバーに「chrome:// net-internals /#hsts」と入力します。
- 「ドメインの削除」の下のテキストフィールドにドメイン名を入力します。
- 「削除」ボタンをクリックします。
- 「クエリドメイン」の下のテキストフィールドにドメイン名を入力します。
- 「クエリ」ボタンをクリックします。
- 応答は「見つかりません」である必要があります。
あなたはでより多くの情報を見つけることができます: http //classically.me/blogs/how-clear-hsts-settings-major-browsersをください。
このソリューションは最善ではありませんが、Chromeには現在のところ適切なソリューションがありません。ユーザーエクスペリエンスの向上を支援するために、サポートチームとともにこの状況をエスカレートしました。
編集:本番サイトに行くたびに手順を繰り返す必要があります。
SSLエラーは、Cyberroamなどのネットワーク管理ソフトウェアによってスローされることがよくあります。
あなたの質問に答えるために、
あなたがします入力する必要がbadideaクロムにあなたがウェブサイトを訪問するたびに。
サイトがロード前にさまざまなリソースを取り込もうとするため、複数のSSLエラーが発生する可能性があるため、複数回入力する必要がある場合があります。
証明書を信頼すると(無効な場合でも)、Chromeが記憶してくれるので、アクセスする新しいドメイン/サブドメインごとにこれを入力するだけで済みます。
—
dragon788 2018年
質問自体で述べたように、パスフレーズが再び変更されていることに注意してください。Chrome65の時点では
—
グレッグA.ウッズ
thisisunsafeです。
これはどこに安全ではないと入力しますか?アドレスバーに?
—
user20263 1819年
@ user2026318証明書の発行ページを表示しているときに入力するだけです
—
sparkhee 9319