web-dev-qa-db-fra.com

L'utilisation de 'badidea' ou 'thisisunsafe' pour contourner une Chrome certificat / HSTS) ne s'applique-t-elle qu'au site actuel?

Parfois et surtout très souvent lors du développement d’une application Web Chrome ne vous permet pas de visiter certains sites et d'envoyer une erreur certificat/HSTS. J'ai trouvé que taper badidea ( plus récemment, thisisunsafe) dans Chrome la fenêtre indiquera Chrome pour ignorer la validation du certificat.

Cette solution fonctionne-t-elle uniquement pour un site spécifique, ou est-ce que Chrome ignorera les erreurs de certificat/HSTS pour tous les sites après avoir utilisé ce mot-clé?

google-chromesecuritysslcertificate
56
sk1llfull

Ceci est spécifique à chaque site. Donc, si vous tapez cela une fois, vous ne passerez que par ce site et tous les autres sites auront besoin d'un saut de type similaire.

Il est également rappelé pour ce site et vous devez cliquer sur le cadenas pour le réinitialiser (afin que vous puissiez le saisir à nouveau):

enter image description here

Inutile de dire que l’utilisation de cette "fonctionnalité" est une mauvaise idée et n’est pas sûre - d’où son nom.

Vous devriez découvrir pourquoi le site montre l'erreur et/ou cesser de l'utiliser jusqu'à ce qu'ils la corrigent. HSTS ajoute spécifiquement des protections pour les certificats incorrects pour vous empêcher de cliquer dessus. Le fait que cela soit nécessaire laisse à penser que la connexion https a un problème: le site ou votre connexion a été piratée.

Les développeurs chrome le modifient également périodiquement. Ils l'ont récemment changé de badidea à thisisunsafe afin que tous ceux qui utilisent badidea cessent soudainement de pouvoir Comme Steffen l’a souligné dans les commentaires ci-dessous, il est disponible dans le code devrait-il changer à nouveau, bien qu’ils soient maintenant codés en base64 pour le rendre plus obscur. la dernière fois qu'ils ont changé, ils ont mis ce commentaire dans le commit :

Faire pivoter le mot clé de contournement interstitiel

Le mot clé de contournement de sécurité interstitiel n'a pas changé depuis deux ans et la notoriété de ce contournement a été renforcée dans les blogs et les médias sociaux. Faites pivoter le mot clé pour éviter les abus.

Je pense que le message de l’équipe Chrome est clair - vous ne devez pas l’utiliser. Cela ne me surprendrait pas qu’ils l’aient supprimé à l’avenir.

Si vous utilisez cela lorsque vous utilisez un certificat auto-signé pour des tests locaux, pourquoi ne pas simplement ajouter votre certificat de certificat auto-signé au magasin de certificats de votre ordinateur pour obtenir un cadenas vert et ne pas avoir à le taper? Remarque Chrome insiste maintenant sur un champ SAN dans les certificats. Par conséquent, si vous n'utilisez que l'ancien champ subject, son ajout au magasin de certificats n'entraînera cadenas vert.

Si vous laissez le certificat sans confiance, certaines choses ne fonctionneront pas. La mise en cache, par exemple, est complètement ignorée pour les certificats non fiables . Tel quel HTTP/2 Push .

HTTPS est là pour rester et nous devons nous habituer à l'utiliser correctement - et ne pas contourner les avertissements avec un hack susceptible de changer et ne fonctionnant pas de la même manière qu'une solution HTTPS complète.

42
Barry Pollard

Je suis un PHP développeur et pour pouvoir travailler sur mon environnement de développement avec un certificat, j'ai pu faire de même en trouvant le vrai certificat SSL HTTPS/HTTP et en le supprimant.

Les étapes sont les suivantes:

  1. Dans la barre d'adresse, tapez "chrome: // net-internals/# hsts".
  2. Tapez le nom de domaine dans le champ sous "Supprimer le domaine".
  3. Cliquez sur le bouton "Supprimer".
  4. Tapez le nom de domaine dans le champ de texte situé sous "Domaine de requête".
  5. Cliquez sur le bouton "Requête".
  6. Votre réponse devrait être "Introuvable".

Vous pouvez trouver plus d'informations à: http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Bien que cette solution ne soit pas la meilleure, Chrome n’a actuellement pas de solution satisfaisante pour le moment. J’ai escaladé la situation avec son équipe de support afin d’améliorer l'expérience utilisateur.

Modifier: vous devez répéter les étapes chaque fois que vous vous rendez sur le site de production.

6
aneth101

Les erreurs SSL sont souvent générées par des logiciels de gestion de réseau tels que Cyberroam.

Pour répondre à ta question,

vous allez devez entrer badidea dans Chrome chaque fois que vous visitez un site Web.

Vous devrez peut-être parfois y entrer plusieurs fois, car le site peut essayer d'extraire diverses ressources avant le chargement, ce qui provoque plusieurs erreurs SSL.

4
Paulo