web-dev-qa-db-ja.com

Chrome SSL警告:「ウェブサイトの運営者がこのドメインのセキュリティ強化を要求しているため、続行できません。」

以下のURLにアクセスしようとしています。Chromeは、ワイルドカード証明書がこのドメインでは無効であることを警告しています。

https://chart.apis.google.com/chart?cht=qr&chs=100x100&chl=otpauth%3A%2F%2Ftotp%2FTest123%204%3Fsecret%3DTKQWCOOJ7KJ4ZIR

最初は、chromeがワイルドカード証明書内の多数のドットを含むURLを処理する方法についての奇妙なことだと思いましたが、このテキストが警告に表示され、クリックスルーすることもできません。

Webサイト運営者がこのドメインのセキュリティ強化を要求しているため、続行できません。

質問

  • これは、2層を超える深さのChromeのワイルドカード証明書とサブドメインの問題ですか?

  • エラーは、ウェブサイトの所有者がサブドメインに対してワイルドカード証明書を機能させないようにするために「何かをした」ことを意味しますか?

tlscertificateswildcard
19
goodguys_activate

これを試してくださいChromeハック:ブラウザに無効な証明書メッセージのページが表示されたら、キーボードに「続行」という単語を入力してEnterキーを押します。

要求されたページに進むことができるはずです。

Chromeの新しいバージョンでは、「危険」と入力してEnterキーを押す必要がある場合があります。

44
Duilio Protti

これはHTTP Strict Transport Securityと呼ばれる機能です- http://dev.chromium.org/sts および http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security を参照してください。

Strict-Transport-Securityヘッダーを送信する(またはapis.google.comなどのChromeにプリロードされている)サイトは、サーバーのSSL証明書が無効な場合はアクセスできません。

Chart.apis.google.comに送信された証明書は* .google.comに有効ですが、ワイルドカードは単一のサブドメインにのみ一致するため、chart.apisは無効です。

Apis.google.comがSTSリストに含まれていない場合、Chromeはエラーを無視して続行するためのボタンも表示します。

-

(Google Chart APIの正しいHTTPS URLは https://chart.googleapis.com/chart

30
Joel L

このエラーメッセージは "HTTP Strict Transport Security" と呼ばれるWebの機能によってトリガーされます。これにより、Webサイトオペレーターは、安全なHTTPS接続でのみサイトにアクセスする必要があることをブラウザーに伝えることができます。この機能は RFC 6797 で指定されています。特に、 セクション12.1 を読みたい場合があります。

ユーザーに頼ることはありません

警告またはエラー(セクション8.4(「セキュリティで保護されたトランスポート確立」のエラー)による)で安全な接続の確立に失敗した場合は、「ユーザーに頼る必要はありません」とする必要があります。これは、ユーザーに続行オプションを与えるダイアログが表示されるべきではないことを意味します。むしろ、これはサーバーエラーと同様に扱われるべきであり、待機して再試行すること以外に、ユーザーがターゲットWebアプリケーションとの対話に関してこれ以上できることは何もありません。

基本的に、「警告またはエラー」とは、UA実装が、接続の確立で何かが完全に正しくないことをユーザーに通知する原因となるものを意味します。

これを行わないこと、つまり「警告/エラーダイアログをクリックして」などの手段をユーザーに許可することは、中間者攻撃のレシピです。 WebアプリケーションがHSTSポリシーを発行する場合、それは暗黙的に「ユーザーに頼らない」アプローチを選択します。これにより、すべての証明書のエラーまたは警告が接続の終了を引き起こし、ユーザーを誤って決定して自分自身を危険にさらす機会がありません。 。

したがって、このエラーメッセージが表示されたWebサイトユーザーの場合は、お待ちください; Webサイトの所有者に問題を報告し、問題が修正されるのを待つ以外に、これについてできることはありません。

ただし、Chromeは完全にこのポリシーに準拠していません。特定の文字列を入力してエラーメッセージをバイパスする方法があるため、メッセージが表示されたときにキーボードの文字を入力します。この機能は意図的にわかりにくくなるように設計されており、ユーザーが何をしているかを完全に理解していないユーザーが自分のセキュリティを侵害してエラーを取り除くだけでなく、ここでは文字列を投稿せず、他の人にも投稿しないことをお勧めします。このページは、「Webサイトオペレーターがこのドメインのセキュリティ強化を要求しているため続行できません。」というクエリに対してGoogleで上位にランクされています。知らないユーザーがエラーメッセージを検索すると、おそらくここに表示されます。

開発者またはセキュリティの専門家であり、この警告をバイパスすることの影響を完全に理解している場合は、Chromeのソースコードで現在のバイパス文字列(base64-encoded for more obscurity)を見つけることができます。ファイル - components/security_interstitials/core/browser/resources/interstitial_large.js 。そこにある(デコードされた)文字列をChromeに入力すると、TLSセキュリティエラーページが表示され、そのページがバイパスされ、Chromeがサイトをロードします。( https://subdomain.preloaded-hsts.badssl.com/ でこれをテストできます。この情報は責任を持って使用してください。

また、あなたが尋ねたので、これはワイルドカード証明書とは何の関係もないことにも注意してください。ワイルドカード証明書は単一レベルのサブドメインにのみ一致し、これはChromeに固有のものではありません。詳細は RFC 6125、セクション6.4. を参照してください。

3
Ajedi32