「badidea」または「thisisunsafe」を使用してChrome証明書/ HSTSエラーをバイパスすることは、現在のサイトにのみ適用されますか?
WebアプリケーションChromeを開発するときに、特定のサイトにアクセスして証明書/ HSTSエラーをスローできない場合があります。 Chromeウィンドウにbadidea(最近ではthisisunsafe)と入力すると、Chromeに証明書の検証をスキップするよう指示されます。
このソリューションは特定のサイトでのみ機能しますか、またはこのキーワードを使用した後、Chromeはすべてのサイトの証明書/ HSTSエラーを無視しますか?
これは各サイトに固有です。そのため、一度入力すると、そのサイトを通過するだけで、他のすべてのサイトでは同様のタイプスルーが必要になります。
そのサイトでも記憶されており、南京錠をクリックしてリセットする必要があります(したがって、再度入力できます)。
言うまでもなく、この「機能」の使用は悪い考えであり、安全ではありません。
サイトがエラーを表示している理由を見つけ、修正するまで使用を停止する必要があります。 HSTSは、不正な証明書に対する保護を明確に追加して、それらをクリックするのを防ぎます。それが必要であるという事実は、https接続に何か問題があることを示唆しています-サイトやあなたの接続がハッキングされたようなものです。
chrome開発者もこれを定期的に変更します。最近badideaからthisisunsafeに変更したため、badideaを使用している全員が突然使用できなくなりました。あなたはそれに依存すべきではありません。 Steffenが以下のコメントで指摘したように、 コードで利用可能 さらに変更する必要がありますが、Base64でエンコードしてより不明瞭にします。彼らが最後に変更したときには、 コミット内のこのコメント :
インタースティシャルバイパスキーワードをローテーションする
セキュリティインタースティシャルバイパスキーワードは2年で変更されておらず、ブログやソーシャルメディアでバイパスの認識が高まっています。誤用を防ぐためにキーワードをローテーションします。
Chromeチームからのメッセージは明確だと思います。使用しないでください。将来的に完全に削除しても驚かないでしょう。
ローカルテストに自己署名証明書を使用しているときにこれを使用している場合は、自己署名証明書証明書をコンピューターの証明書ストアに追加して、緑の南京錠を取得し、これを入力する必要はありません。注Chromeは証明書のSANフィールドを要求するため、古いsubjectフィールドを使用するだけで証明書ストアに追加しても緑の南京錠は表示されません。
証明書を信頼できないままにしておくと、特定のことが機能しません。 たとえば、信頼できない証明書のキャッシュは完全に無視されます 。そのまま HTTP/2 Push 。
HTTPSはここにとどまり、適切に使用することに慣れる必要があります。また、変更が発生しやすく、完全なHTTPSソリューションと同じように機能しないハックで警告をバイパスしないでください。
私はPHP開発者であり、証明書を使用して開発環境で作業できるように、実際のSSL HTTPS/HTTP証明書を見つけて削除することで同じことができました。
手順は次のとおりです。
- アドレスバーに「chrome:// net-internals /#hsts」と入力します。
- [ドメインの削除]の下のテキストフィールドにドメイン名を入力します。
- [削除]ボタンをクリックします。
- [クエリドメイン]の下のテキストフィールドにドメイン名を入力します。
- [クエリ]ボタンをクリックします。
- 応答は「見つかりません」である必要があります。
詳細については、 http://classically.me/blogs/how-clear-hsts-settings-major-browsers を参照してください。
この解決策は最善ではありませんが、Chromeには現在のところ良い解決策がありません。ユーザーエクスペリエンスの向上を支援するために、この状況をサポートチームにエスカレートしました。
編集:実稼働サイトにアクセスするたびに手順を繰り返す必要があります。
SSLエラーは、多くの場合、Cyberroamなどのネットワーク管理ソフトウェアによってスローされます。
あなたの質問に答えるために、
あなたはwillウェブサイトにアクセスするたびにChromeにbadideaを入力する必要があります。
サイトがロード前にさまざまなリソースを引き込もうとするため、複数のSSLエラーが発生する場合があるため、複数回入力する必要がある場合があります