Chrome: Situs web menggunakan HSTS. Kesalahan jaringan ... halaman ini mungkin akan berfungsi nanti

Saya berkembang melawan localhost. Pagi ini tepat setelah saya menggunakan fiddler saya mulai mendapatkan kesalahan ini pada chrome (berfungsi dengan benar di firefox)

"Anda tidak dapat mengunjungi localhost sekarang karena situs web menggunakan HSTS. Kesalahan dan serangan jaringan biasanya bersifat sementara, jadi halaman ini mungkin akan berfungsi kemudian."

Sekarang localhost hanya berfungsi di chrome jika fiddler berjalan. Saya sudah memastikan proxy redirect yang membuat fiddler diperbaiki ketika fiddler dimatikan.

Saya juga mencoba mengimpor sertifikat ke root tepercaya saya dan memulai kembali browser (dan juga mesin).

Salah satu cara yang sangat cepat adalah ketika Anda melihat layar "Koneksi Anda bukan pribadi":

Tipe badidea

ketik thisisunsafe(kredit ke The Java Guy untuk menemukan frasa sandi baru)

Itu akan memungkinkan pengecualian keamanan ketika Chrome sebaliknya tidak memungkinkan pengecualian ditetapkan melalui klik per tayang, misalnya untuk kasus HSTS ini.

Ini hanya direkomendasikan untuk koneksi lokal dan mesin virtual jaringan lokal, jelas, tetapi memiliki keuntungan bekerja untuk VM yang digunakan untuk pengembangan (misalnya pada koneksi lokal port-forwarded) dan bukan hanya koneksi localhost langsung.

Catatan: Pengembang Chrome telah mengubah frasa sandi ini di masa lalu, dan dapat melakukannya lagi. Jika badideaberhenti bekerja, silakan tinggalkan catatan di sini jika Anda mempelajari frasa sandi baru. Saya akan mencoba melakukan hal yang sama.

Sunting: pada 30 Januari 2018 frasa sandi ini tampaknya tidak berfungsi lagi.

Jika saya dapat memburu yang baru saya akan mempostingnya di sini. Sementara itu saya akan meluangkan waktu untuk mengatur sertifikat yang ditandatangani sendiri menggunakan metode yang diuraikan dalam posting stackoverflow ini:

Bagaimana cara membuat sertifikat yang ditandatangani sendiri dengan openssl?

Sunting: pada 1 Maret 2018 dan Versi Chrome 64.0.3282.186 frasa sandi ini berfungsi lagi untuk blok terkait HSTS di situs .dev.

Sunting: pada 9 Mar 2018 dan Versi Chrome 65.0.3325.146 badideafrasa sandi tidak lagi berfungsi.

Sunting 2: masalah dengan sertifikat yang ditandatangani sendiri tampaknya adalah bahwa, dengan pengetatan standar keamanan dewasa ini, mereka menyebabkan kesalahan mereka sendiri dilemparkan (nginx, misalnya, menolak untuk memuat sertifikat SSL / TLS yang mencakup sertifikat yang ditandatangani sendiri dalam rantai otoritas, secara default).

Solusi yang saya gunakan sekarang adalah dengan menukar domain tingkat atas di semua situs pengembangan .app dan .dev saya dengan .test atau .localhost. Chrome dan Safari tidak akan lagi menerima koneksi tidak aman ke domain tingkat atas standar (termasuk .app).

Daftar domain tingkat atas standar saat ini dapat ditemukan di artikel Wikipedia ini, termasuk domain penggunaan khusus:

Wikipedia: Daftar Internet Top Level Domains: Domain Penggunaan Khusus

Domain tingkat atas ini sepertinya dibebaskan dari batasan https-only:

• .lokal
• .localhost
• .uji
• (domain tingkat atas khusus / tidak standar)

Lihat jawaban dan tautan dari coding coding ke pertanyaan awal untuk informasi lebih lanjut:

jawaban dari codinghands

Ketika Anda mengunjungi https: // localhost sebelumnya di beberapa titik tidak hanya mengunjungi ini melalui saluran aman (https daripada http), itu juga memberitahu browser Anda, menggunakan header HTTP khusus: Strict-Transport-Security (sering disingkat menjadi HSTS ), bahwa HANYA harus menggunakan https untuk semua kunjungan di masa mendatang.

Ini adalah fitur keamanan yang dapat digunakan oleh server web untuk mencegah orang diturunkan ke http (baik secara sengaja atau oleh pihak jahat).

Namun jika Anda kemudian mematikan server https Anda, dan hanya ingin menelusuri http Anda tidak dapat (dengan desain - itulah titik fitur keamanan ini).

HSTS juga mencegah Anda menerima dan melewatkan kesalahan sertifikat yang lalu.

Untuk mengatur ulang ini, jadi HSTS tidak lagi diatur untuk localhost, ketikkan yang berikut di bilah alamat Chrome Anda:

chrome://net-internals/#hsts

Di mana Anda dapat menghapus pengaturan ini untuk "localhost".

Anda mungkin juga ingin mencari tahu apa yang mengatur ini untuk menghindari masalah ini di masa depan!

Perhatikan bahwa untuk situs lain (mis. Www.google.com) ini "dimuat" ke dalam kode Chrome dan karenanya tidak dapat dihapus. Saat Anda menanyakannya di chrome: // net-internal / # hsts Anda akan melihatnya terdaftar sebagai staticentri HSTS.

Dan akhirnya perhatikan bahwa Google telah memulai prapemuatan HSTS untuk seluruh domain .dev: https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

Klik di mana saja di jendela chrome dan ketik thisisunsafe(bukan yang badideasebelumnya) di chrome.

Frasa sandi ini dapat berubah di masa mendatang. Ini sumbernya

https://chromium.googlesource.com/chromium/src/+/master/components/security_interstitials/core/browser/resources/interstitial_large.js#19

Menurut baris itu, ketik window.atob('dGhpc2lzdW5zYWZl')konsol browser Anda dan itu akan memberi Anda frasa sandi yang sebenarnya.

Kali ini frasa sandi adalah thisisunsafe.

Saya punya masalah dengan situs yang berjalan di XAMPP dengan nama host pribadi. Tidak terlalu pribadi, ternyata! Mereka semua domain.dev, yang kini telah didaftarkan Google sebagai gTLD pribadi , dan memaksa HSTS di tingkat domain. Mengubah setiap host virtual menjadi .devel(eugh), me-restart Apache dan semuanya baik-baik saja.

Saya baru-baru memiliki masalah yang sama ketika mencoba untuk mengakses domain menggunakan CloudFlare Asal CA .

Satu-satunya cara yang saya temukan untuk mengatasi / menghindari pengecualian sertifikat HSTS di Chrome (Windows build) adalah mengikuti instruksi singkat di https://support.opendns.com/entries/66657664 .

Cara mengatasinya:
Tambahkan ke Chrome pintas bendera --ignore-certificate-errors, lalu buka kembali dan berselancar ke situs web Anda.

Pengingat:
Gunakan hanya untuk tujuan pengembangan.

Saya melihat ada begitu banyak jawaban yang berguna di sini tapi tetap saja, saya menemukan artikel yang berguna dan berguna di luar sana. https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/

Saya mengalami masalah yang sama dan artikel itu membantu saya apa sebenarnya itu dan bagaimana menangani HTH itu :-)

Mengalami kesalahan serupa. menyetel ulang chrome: // net-internal / # hsts tidak bekerja untuk saya. Masalahnya adalah bahwa jam vm saya miring beberapa hari. mengatur ulang waktu berhasil untuk menyelesaikan masalah ini. https://support.google.com/chrome/answer/4454607?hl=id

Saya menemukan kesalahan yang sama, dan mode penyamaran juga memiliki masalah yang sama. Saya mengatasi masalah ini dengan menghapus riwayat Chrome.

Saya sudah lama menderita masalah ini. Saya tidak dapat membuka situs web seperti GitHub. Saya hampir mencoba semua jawaban di web dan tidak ada yang bekerja. Mencoba menginstal ulang chrome juga. Saya menemukan solusi untuk ini dari orang jaringan kami dan itu berhasil. Ada perbaikan dalam registri yang akan menyelesaikan kesalahan ini secara permanen.

1. Tekan Windows + R tombol untuk membuka kotak dialog run
2. ketik: regedit dan tekan enter untuk membuka registri
3. Pada tampilan hierarki di klik kiri melalui jalur berikut HKEY_LOCAL_MACHINE> SOFTWARE> POLICIES> Microsoft> SystemCertificate> Authroot
4. Sekarang klik dua kali pada DisableRootAutoUpdate di sebelah kanan dan atur ke 0 (nol) di kotak dialog yang muncul
5. Mulai ulang PC Anda untuk menerapkan perubahan registri dan Anda tidak akan mendapatkan kesalahan ini lagi

Solusi di atas adalah untuk Windows 8. Ini hampir identik di versi yang lebih baru tetapi saya tidak yakin untuk versi sebelumnya seperti XP dan vista. Jadi itu perlu diperiksa.