Questo messaggio di errore è stato attivato da una funzionalità del Web chiamata "HTTP Strict Transport Security" che consente agli operatori del sito web di raccontare i browser che il loro sito deve essere contattato solo tramite una connessione HTTPS sicura. Questa funzione è specificata in RFC 6797 . In particolare, potresti voler leggere sezione 12.1 , che dice:
No User Recourse
Failing secure connection establishment on any warnings or errors (per Section 8.4 ("Errors in Secure Transport Establishment")) should be done with "no user recourse". This means that the user should not be presented with a dialog giving her the option to proceed. Rather, it should be treated similarly to a server error where there is nothing further the user can do with respect to interacting with the target web application, other than wait and retry.
Essentially, "any warnings or errors" means anything that would cause the UA implementation to announce to the user that something is not entirely correct with the connection establishment.
Not doing this, i.e., allowing user recourse such as "clicking through warning/error dialogs", is a recipe for a man-in-the-middle attack. If a web application issues an HSTS Policy, then it is implicitly opting into the "no user recourse" approach, whereby all certificate errors or warnings cause a connection termination, with no chance to "fool" users into making the wrong decision and compromising themselves.
Quindi se sei un utente del sito web che visualizza questo messaggio di errore, devi solo aspettare ; non c'è nulla che tu possa fare di questo oltre a segnalare il problema al proprietario del sito web e aspettare che lo risolvano.
Tuttavia, vale la pena notare che Chrome non è interamente compatibile con questo criterio, in quanto ha un modo per aggirare il messaggio di errore inserendo una determinata stringa di caratteri sulla tastiera quando vedere il messaggio. Questa funzione è intenzionalmente progettata per essere oscura per impedire agli utenti che non comprendono appieno ciò che stanno facendo di danneggiare la propria sicurezza solo per sbarazzarsi dell'errore, e per rispetto a tale scopo non posterò la stringa qui, e incoraggio altri a evitare di fare altrettanto. Questa pagina è posizionata in alto su Google per la query "Non puoi procedere perché l'operatore del sito web ha richiesto maggiore sicurezza per questo dominio.", Quindi gli utenti non informati che cercano il messaggio di errore finiranno probabilmente qui.
Se sei uno sviluppatore o un esperto di sicurezza e comprendi pienamente le implicazioni dell'esclusione di questo avviso, puoi trovare la stringa di bypass corrente (codificata in base64 per ulteriore oscurità) nel codice sorgente di Chrome nel file components/security_interstitials/core/browser/resources/interstitial_large.js
. Digitando la stringa (decodificata) che trovi in Chrome quando vedi una pagina di errore di sicurezza TLS, ignorerai quella pagina e imporrà a Chrome di caricare il sito. (Puoi testarlo su link .) Utilizza queste informazioni in modo responsabile.
Inoltre, poiché hai chiesto, dovrei anche notare che nulla di tutto questo ha nulla a che fare con i certificati jolly. I certificati jolly corrispondono solo a un singolo livello di sottodominio e questo non è specifico di Chrome. Vedi RFC 6125, sezione 6.4.3 per i dettagli su questo.