Gilt die Verwendung von "badidea" oder "thisisunsafe" zum Umgehen eines Chrome-Zertifikats / HSTS-Fehlers nur für die aktuelle Site? [geschlossen]

80

Manchmal und besonders oft, wenn Sie eine Webanwendung entwickeln, können Sie in Chrome bestimmte Websites nicht besuchen und Zertifikat- / HSTS-Fehler auslösen. Ich habe festgestellt, dass die Eingabe badidea(in jüngerer Zeit thisisunsafe) in das Chrome-Fenster Chrome anweist, die Zertifikatsüberprüfung zu überspringen.

Funktioniert diese Lösung nur für eine bestimmte Site oder ignoriert Chrome Zertifikat- / HSTS-Fehler für alle Sites, nachdem ich dieses Schlüsselwort verwendet habe?

sk1llfull
quelle

Antworten:

71

Dies ist für jede Site spezifisch. Wenn Sie das also einmal eingeben, werden Sie nur durch diese Site gelangen und alle anderen Sites benötigen eine ähnliche Typisierung.

Es wird auch für diese Site gespeichert und Sie müssen auf das Vorhängeschloss klicken, um es zurückzusetzen (damit Sie es erneut eingeben können):

Geben Sie hier die Bildbeschreibung ein

Die Verwendung dieser "Funktion" ist natürlich eine schlechte Idee und unsicher - daher der Name.

Sie sollten herausfinden, warum auf der Site der Fehler angezeigt wird, und / oder ihn nicht mehr verwenden, bis er behoben ist. HSTS fügt speziell Schutz für fehlerhafte Zertifikate hinzu, um zu verhindern, dass Sie durch diese klicken. Die Tatsache, dass es benötigt wird, deutet darauf hin, dass mit der https-Verbindung etwas nicht stimmt - beispielsweise, dass die Site oder Ihre Verbindung zu ihr gehackt wurde.

Die Chrome-Entwickler ändern dies ebenfalls regelmäßig. Sie haben es kürzlich von badideaauf geändert , thisisunsafesodass alle Benutzer es badideaplötzlich nicht mehr verwenden können. Sie sollten sich nicht darauf verlassen. Wie Steffen in den Kommentaren unten hervorhob, ist es im Code verfügbar, sollte es sich erneut ändern, obwohl sie jetzt base64-codieren, um es dunkler zu machen. Bei der letzten Änderung haben sie diesen Kommentar in das Commit eingefügt :

Drehen Sie das Schlüsselwort für den interstitiellen Bypass

Das Sicherheits-Interstitial-Bypass-Schlüsselwort hat sich seit zwei Jahren nicht geändert, und das Bewusstsein für den Bypass wurde in Blogs und sozialen Medien erhöht. Drehen Sie das Schlüsselwort, um Missbrauch zu vermeiden.

Ich denke, die Nachricht des Chrome-Teams ist klar - Sie sollten sie nicht verwenden. Es würde mich nicht überraschen, wenn sie es in Zukunft komplett entfernen würden.

Wenn Sie dies verwenden, wenn Sie ein selbstsigniertes Zertifikat für lokale Tests verwenden, fügen Sie Ihr selbstsigniertes Zertifikatzertifikat einfach zum Zertifikatspeicher Ihres Computers hinzu, damit Sie ein grünes Vorhängeschloss erhalten und dieses nicht eingeben müssen. Hinweis Chrome besteht SANjetzt auf einem Feld in Zertifikaten. Wenn Sie also nur das alte subjectFeld verwenden, führt das Hinzufügen zum Zertifikatspeicher nicht zu einem grünen Vorhängeschloss.

Wenn Sie das Zertifikat nicht vertrauenswürdig lassen, funktionieren bestimmte Dinge nicht. Das Caching wird beispielsweise bei nicht vertrauenswürdigen Zertifikaten vollständig ignoriert . Wie ist HTTP / 2 Push .

HTTPS ist hier, um zu bleiben, und wir müssen uns daran gewöhnen, es richtig zu verwenden - und die Warnungen nicht mit einem Hack umgehen, der sich ändern kann und nicht wie eine vollständige HTTPS-Lösung funktioniert.

Barry Pollard
quelle
1
Vielen Dank, @BazzaDP, dies funktioniert jedoch nicht nur für bestimmte Sitzungen. Ich verwende ein selbstsigniertes Zertifikat, das in Bezug auf das Vertrauen gut ist.
sk1llfull
Wenn Sie sich die Art und Weise der Implementierung ansehen , haben Sie Recht.
Stefan
1
@FranklinYu hat es immer bestanden, aber wenn Sie die Warnungen wiederherstellen möchten, können Sie auf das Vorhängeschloss klicken und dann auf "Warnungen für diese Site wieder aktivieren" klicken.
Dragon788
3
Wenn ihnen die Sicherheit so wichtig ist, warum werden durch Klicken auf das Vorhängeschloss keinerlei Informationen zur verwendeten Zertifikatskette angezeigt?
LtWorf
3
Denn niemand hat es sich angesehen, außer Experten - die es von Entwicklertools auf der Registerkarte Sicherheit erhalten konnten. Persönlich dachte ich, es sei schlimmer, wenn sie zu viele Informationen dort einfügen ( security.stackexchange.com/questions/52834/… ). Aber ja, ich stimme Ihnen zu, dass es schön ist, das vollständige Zertifikat für diejenigen zu sehen, die es möchten, und ich bin froh, dass sie es zurückgebracht haben - vielleicht haben Sie es nicht bemerkt, aber jetzt, wenn Sie auf "Zertifikat (gültig)" klicken. In der Formulierung sehen Sie das übliche Systemdialogfeld einschließlich der Kette.
Barry Pollard
9

Ich bin ein PHP-Entwickler und um mit einem Zertifikat an meiner Entwicklungsumgebung arbeiten zu können, konnte ich dasselbe tun, indem ich das echte SSL-HTTPS / HTTP-Zertifikat fand und es löschte.

Die Schritte sind:

  1. Geben Sie in die Adressleiste "chrome: // net-internals / # hsts" ein.
  2. Geben Sie den Domainnamen in das Textfeld unter "Domain löschen" ein.
  3. Klicken Sie auf die Schaltfläche "Löschen".
  4. Geben Sie den Domainnamen in das Textfeld unter "Domain abfragen" ein.
  5. Klicken Sie auf die Schaltfläche "Abfrage".
  6. Ihre Antwort sollte "Nicht gefunden" sein.

Weitere Informationen finden Sie unter: http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Obwohl diese Lösung nicht die beste ist, hat Chrome derzeit keine gute Lösung. Ich habe diese Situation mit dem Support-Team eskaliert, um die Benutzererfahrung zu verbessern.

Bearbeiten: Sie müssen die Schritte jedes Mal wiederholen, wenn Sie die Produktionsstätte betreten.

aneth101
quelle
4

Die SSL-Fehler werden häufig von Netzwerkverwaltungssoftware wie Cyberroam ausgelöst.

Zur Beantwortung Ihrer Frage,

Sie werden zur Eingabe haben badidea jedes Mal , wenn Sie eine Website in Chrome besuchen.

Möglicherweise müssen Sie es mehrmals eingeben, da die Site möglicherweise versucht, vor dem Laden verschiedene Ressourcen abzurufen, was zu mehreren SSL-Fehlern führt

Paulo
quelle
Wenn es nicht funktioniert, sehen Sie hier und hier
Sanmai
Sie müssen dies nur für jede neue Domain / Subdomain eingeben, die Sie besuchen, sobald Sie einem Zertifikat vertraut haben (auch wenn es ungültig ist), an das sich Chrome für Sie erinnert.
Dragon788
1
Beachten Sie, wie jetzt in der Frage selbst erwähnt, dass sich die Passphrase erneut geändert hat. Ab Chrome 65 ist es thisisunsafe.
Greg A. Woods
Wo tippst du thisisunsafe? In der Adressleiste?
user2026318
1
@ user2026318 Sie geben es einfach ein, während Sie sich auf der Seite mit der Zertifikatausstellung befinden
sparkhee93