A veces, y especialmente muy a menudo, cuando se desarrolla una aplicación web, Chrome no le permite visitar ciertos sitios y arrojar un error de certificado / HSTS. Descubrí que escribir badidea(más recientemente thisisunsafe) en la ventana de Chrome le indicará a Chrome que omita la validación del certificado.
¿Esta solución solo funciona para un sitio específico, o Chrome ignorará los errores de certificado / HSTS para todos los sitios después de haber usado esta palabra clave?
Respuestas:
Esto es específico para cada sitio. Entonces, si escribe eso una vez, solo pasará por ese sitio y todos los demás sitios necesitarán un tipo de escritura similar.
También se recuerda para ese sitio y tienes que hacer clic en el candado para resetearlo (para que puedas volver a escribirlo):
No hace falta decir que el uso de esta "función" es una mala idea y no es seguro, de ahí el nombre.
Debe averiguar por qué el sitio muestra el error y / o dejar de usarlo hasta que lo solucionen. HSTS agrega específicamente protecciones para malos certificados para evitar que haga clic en ellos. El hecho de que sea necesario sugiere que hay algún problema con la conexión https, como si el sitio o su conexión hayan sido pirateados.
Los desarrolladores de Chrome también cambian esto periódicamente. Lo cambiaron recientemente de badideaa thisisunsafepara que todos los que lo usaban badidea, de repente dejaran de poder usarlo. No deberías depender de ello. Como señaló Steffen en los comentarios a continuación, está disponible en el código en caso de que cambie nuevamente, aunque ahora lo codifican en base64 para hacerlo más oscuro. La última vez que cambiaron, pusieron este comentario en el compromiso :
Rotar la palabra clave de omisión intersticial
La palabra clave de omisión de intersticiales de seguridad no ha cambiado en dos años y se ha incrementado el conocimiento de la omisión en blogs y redes sociales. Gire la palabra clave para ayudar a prevenir el uso indebido.
Creo que el mensaje del equipo de Chrome es claro: no debes usarlo. No me sorprendería si lo eliminaran por completo en el futuro.
Si está usando esto cuando usa un certificado autofirmado para pruebas locales, ¿por qué no simplemente agrega su certificado de certificado autofirmado al almacén de certificados de su computadora para obtener un candado verde y no tener que escribir esto? Tenga en cuenta que Chrome insiste en un SANcampo en los certificados ahora, por lo que si solo usa el subjectcampo anterior, incluso agregarlo al almacén de certificados no dará como resultado un candado verde.
Si no confía en el certificado, algunas cosas no funcionan. El almacenamiento en caché, por ejemplo, se ignora por completo para los certificados que no son de confianza . Como es HTTP / 2 Push .
HTTPS está aquí para quedarse y debemos acostumbrarnos a usarlo correctamente, y no eludir las advertencias con un truco que puede cambiar y no funciona igual que una solución HTTPS completa.
Soy un desarrollador de PHP y para poder trabajar en mi entorno de desarrollo con un certificado, pude hacer lo mismo encontrando el certificado SSL HTTPS / HTTP real y eliminándolo.
Los pasos son:
Puede encontrar más información en: http://classically.me/blogs/how-clear-hsts-settings-major-browsers
Aunque esta solución no es la mejor, Chrome actualmente no tiene ninguna buena solución por el momento. He escalado esta situación con su equipo de soporte para ayudar a mejorar la experiencia del usuario.
Editar: tienes que repetir los pasos cada vez que vayas al sitio de producción.
Los errores de SSL a menudo son lanzados por software de administración de red como Cyberroam.
Para responder tu pregunta,
que va a tener que entrar en badidea en Chrome cada vez que visita un sitio web.
Es posible que en ocasiones tenga que ingresarlo más de una vez, ya que el sitio puede intentar extraer varios recursos antes de la carga, lo que provoca múltiples errores de SSL
thisisunsafe.