Chrome: guardado de contraseña con SSL autofirmado o roto

29

He buscado con frecuencia una forma de hacer esto y nunca encontré una buena respuesta, aunque se han creado tickets en el pasado ( # 142818 y # 405549 ).

Aparentemente, los desarrolladores de chromium no han podido crear un chrome: // sobrescribir banderas para SSL "roto" y / o guardar la contraseña. Esta parece ser la forma más fácil de arreglar esta molesta "característica" (a través de banderas). Entiendo completamente por qué lo bloquean por defecto.

Dado que, a mi entender, no hay anulación, supuse que necesitaría importar el certificado autofirmado dado a un área raíz de confianza en la tienda (Windows). Esto tampoco parece funcionar.

¿Alguien ha podido hacer que esto funcione? Puedo vivir con la advertencia, solo que no la falta de guardar la contraseña. Pasé la mayor parte de mi día de trabajo en un entorno de desarrollo y necesito volver a ingresar contraseñas docenas de veces al día (copiar / pegar).

google-chrome  ssl  password-management 
bshea
fuente
Importar su certificado autofirmado en la tienda de certificados de Windows funciona para Chrome, lo hago todo el tiempo. ¿Cómo lo importas y en qué tienda?
heavyd
Último intento: importe el formato .cer autofirmado en "Certificados de autenticación raíz de confianza / certificados"
bshea
No quiero decir lo obvio, pero ¿no sería un poco más fácil si Chrome solo agregara una anulación de bandera para nosotros? De todos modos, si puedes señalarme en la dirección correcta o decirme qué estoy haciendo mal, hazlo :)
bshea
Importar su certificado autofirmado en la tienda de certificados de Windows tampoco funciona para mí
Ivan
Actualización : nunca he encontrado una manera fácil / indicador para hacer esto a la fecha de este comentario. Pero, con el advenimiento de la emisión gratuita de certificados (LetsEncrypt / etc.), mis problemas para guardar la contraseña han desaparecido lentamente, ya que la mayoría de las veces puedo crear un certificado SSL legítimo. Problema resuelto. Nota: Sin embargo, el servidor web (durante la emisión del certificado) y el navegador del cliente necesitan acceso a Internet. Lo cual generalmente no es un problema ...
bshea

Respuestas:

10

No conocía esta opción antes de hoy, pero parece que Chrome tiene un indicador para permitir certificados inseguros desde el localhostorigen. Esta opción está disponible en la chrome://flags/#allow-insecure-localhostpágina:

Captura de pantalla

Esto solo lo ayudará a obtener certificados autofirmados en el localhostorigen, y no lo he probado para ver si realmente soluciona su problema con el administrador de contraseñas, pero parece prometedor.

pesado
fuente
No estaba seguro de quién respondió primero, así que dio la aprobación a la primera. Bandera no cubre todo lo que tenía que hacerlo, pero le ayudará ..
bshea
2
@bshea, para su información sobre la etiqueta "respondió hace XX minutos / horas / días" se mostrará una marca de tiempo exacta.
heavyd
2
Desearía que las banderas de Chrome admitieran una anulación completa en las comprobaciones de certificados (o específicamente el almacenamiento de contraseñas desde una fuente no localhost). Hay una buena advertencia sobre el uso de banderas ... así que no veo por qué no lo hacen. Responsabilidad, supongo.
bshea
1
@bshea, sí, creo que están tratando de ser conscientes de la seguridad. Si la bandera está allí, los propietarios de sitios web perezosos o los actores maliciosos pueden indicar a los usuarios que muevan la bandera para permitir sus malas prácticas. Si la bandera no está allí, no hay bypass
heavyd
Esto no funcionó para mí. Lo que funcionó para mí fue generar un certificado autofirmado y agregarlo al almacén de confianza del sistema como siempre confiable.
Vic Seedoubleyew
7

Alternativamente, puede iniciar Chrome con un interruptor de línea de comando --unsafely-treat-insecure-origin-as-secure="http://example.com"o ir chrome://flags/#unsafely-treat-insecure-origin-as-securee ingresar su origen inseguro, por ejemplo http://example.com.

niutech
fuente
Agradable. No había visto esa bandera / interruptor antes. ¿También puede guardar una contraseña para ese dominio 'ssl malo'?
bshea
Tampoco funcionó para mí. Tuve que generar un certificado autofirmado y agregarlo al almacén de confianza del sistema
Vic Seedoubleyew
No creo que esto sea para SSL / TLS en absoluto. La política de origen seguro se refiere a la creación de scripts entre sitios, no al cifrado y la autenticación.
Bachsau
2

Navegue a chrome: // flags / # allow-insecure-localhost (o simplemente haga clic derecho en este enlace y haga clic en "Abrir enlace en una pestaña nueva").

Luego haga clic en "Habilitar".

Solo tenga mucho cuidado de que este sea un gran defecto de seguridad.

Editar: el enlace ya no funciona debido al hecho de que Chrome ya no permite hipervínculos al protocolo de Chrome debido a la seguridad con respecto al uso de la codificación de URL en hipervínculos al protocolo. Ciertas cadenas codificadas en url podrían bloquear versiones anteriores de Chrome. En lugar de solucionar este problema, eliminaron por completo la opción de hipervínculos. Tan solo navegue a esa ubicación copiando y pegando el enlace.

var firstName
fuente
Esa bandera es nueva para mí. No es exactamente lo que necesitaba (localhost solamente), pero sin duda ayudará ... Gracias.
bshea
solo para tu información - el enlace no funciona
redbeam_
0

te sugiero que uses macro (iMacros) en lugar de romper el valor predeterminado de seguridad de Chrome y eso es mejor para protegerte del virus

editar:

  • descargar la extensión iMacros chrome
  • instalarlo
  • crear nueva pestaña de Chrome
  • abrir i macros
  • luego mueva a la sección Grabar y presione grabar
  • en la nueva pestaña, vaya a la página de inicio de sesión
  • complete su nombre de usuario y contraseña
  • presione iniciar sesión
  • luego pare el registro y guarde la página

y listo, ahora puedes reproducir tu macro grabada en la sección de marcadores para iniciar sesión sin esfuerzo

rizky ap
fuente
1
¡Bienvenido a Super User ! ¿Podría editar su respuesta para dejar en claro cómo está respondiendo la pregunta?
Glorfindel
0

Ninguno de estos funcionó para mí, terminé siguiendo una combinación de las respuestas de PowerShell de aquí agregando también la -NotAfterbandera, ligeramente modificada para usar copiar y pegar de los comentarios en lugar de exportar el certificado. Una vez que tuve todo esto funcionando para los dominios correctos, Chrome dejó de decir que el certificado no era válido y se le solicitó que guardara la contraseña.

Para crear el nuevo certificado para su dominio específico:

Abra Powershell ISE como administrador, ejecute el comando:

New-SelfSignedCertificate -DnsName *.mydomain.com, localhost -CertStoreLocation cert:\LocalMachine\My

Para confiar en el nuevo certificado:

  • Abra mmc.exe
  • Vaya a Root de consola -> Certificados (computadora local) -> Personal
  • Seleccione el certificado que ha creado, copie
  • Vaya a Rooteo de consola -> Certificados -> Autoridades de certificación raíz de confianza, pegue

Para vincular el certificado a su sitio:

  • Abra el administrador de IIS
  • Seleccione su sitio y elija Editar sitio -> Enlaces en el panel derecho
  • Agregue un nuevo enlace https con el nombre de host correcto y el nuevo certificado
BlackICE
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.