Avviso SSL Chrome: "Non è possibile procedere perché l'operatore del sito web ha richiesto una maggiore sicurezza per questo dominio. ”

19

Sto cercando di accedere all'URL qui sotto e Chrome mi avverte che il certificato con caratteri jolly non è valido per questo dominio.

link

All'inizio pensavo che fosse una stranezza su come chrome gestisce gli URL con molti punti in un certificato jolly, tuttavia vedo questo testo nell'avviso e non riesco a fare clic attraverso

You cannot proceed because the website operator has requested heightened security for this domain.

Domanda

  • Si tratta di un problema con i certificati jolly e i sottodomini di Chrome con profondità superiore a 2 livelli?

  • L'errore indica che il proprietario del sito web ha "fatto qualcosa" per rendere i certificati jolly non funzionanti per i sottodomini?

posta random65537 27.12.2012 - 16:24
fonte

3 risposte

44

Prova questo trucco di Chrome: quando il browser mostra la pagina con il messaggio di certificato non valido, digita sulla tastiera la parola "continua" e premi Invio.

Dovresti essere in grado di procedere alla pagina richiesta.

Nelle versioni più recenti di Chrome, potresti dover digitare "pericolo" e premere invece Invio.

    
risposta data 03.02.2013 - 19:14
fonte
29

Questa è una funzionalità chiamata HTTP Strict Transport Security - vedi link e link .

Non è possibile accedere ai siti che inviano l'intestazione Strict-Transport-Security (o precaricati in Chrome, come apis.google.com) quando il certificato SSL del server non è valido.

Il certificato inviato per chart.apis.google.com è valido per * .google.com, ma poiché il carattere jolly corrisponde solo a un singolo sottodominio, chart.apis non è valido.

Se apis.google.com non fosse incluso nell'elenco STS, Chrome mostrerebbe anche un pulsante per ignorare l'errore e procedere.

-

(L'URL HTTPS corretto per l'API di Google Chart è link )

    
risposta data 27.12.2012 - 16:38
fonte
3

Questo messaggio di errore è stato attivato da una funzionalità del Web chiamata "HTTP Strict Transport Security" che consente agli operatori del sito web di raccontare i browser che il loro sito deve essere contattato solo tramite una connessione HTTPS sicura. Questa funzione è specificata in RFC 6797 . In particolare, potresti voler leggere sezione 12.1 , che dice:

No User Recourse

Failing secure connection establishment on any warnings or errors (per Section 8.4 ("Errors in Secure Transport Establishment")) should be done with "no user recourse". This means that the user should not be presented with a dialog giving her the option to proceed. Rather, it should be treated similarly to a server error where there is nothing further the user can do with respect to interacting with the target web application, other than wait and retry.

Essentially, "any warnings or errors" means anything that would cause the UA implementation to announce to the user that something is not entirely correct with the connection establishment.

Not doing this, i.e., allowing user recourse such as "clicking through warning/error dialogs", is a recipe for a man-in-the-middle attack. If a web application issues an HSTS Policy, then it is implicitly opting into the "no user recourse" approach, whereby all certificate errors or warnings cause a connection termination, with no chance to "fool" users into making the wrong decision and compromising themselves.

Quindi se sei un utente del sito web che visualizza questo messaggio di errore, devi solo aspettare ; non c'è nulla che tu possa fare di questo oltre a segnalare il problema al proprietario del sito web e aspettare che lo risolvano.

Tuttavia, vale la pena notare che Chrome non è interamente compatibile con questo criterio, in quanto ha un modo per aggirare il messaggio di errore inserendo una determinata stringa di caratteri sulla tastiera quando vedere il messaggio. Questa funzione è intenzionalmente progettata per essere oscura per impedire agli utenti che non comprendono appieno ciò che stanno facendo di danneggiare la propria sicurezza solo per sbarazzarsi dell'errore, e per rispetto a tale scopo non posterò la stringa qui, e incoraggio altri a evitare di fare altrettanto. Questa pagina è posizionata in alto su Google per la query "Non puoi procedere perché l'operatore del sito web ha richiesto maggiore sicurezza per questo dominio.", Quindi gli utenti non informati che cercano il messaggio di errore finiranno probabilmente qui.

Se sei uno sviluppatore o un esperto di sicurezza e comprendi pienamente le implicazioni dell'esclusione di questo avviso, puoi trovare la stringa di bypass corrente (codificata in base64 per ulteriore oscurità) nel codice sorgente di Chrome nel file components/security_interstitials/core/browser/resources/interstitial_large.js . Digitando la stringa (decodificata) che trovi in Chrome quando vedi una pagina di errore di sicurezza TLS, ignorerai quella pagina e imporrà a Chrome di caricare il sito. (Puoi testarlo su link .) Utilizza queste informazioni in modo responsabile.

Inoltre, poiché hai chiesto, dovrei anche notare che nulla di tutto questo ha nulla a che fare con i certificati jolly. I certificati jolly corrispondono solo a un singolo livello di sottodominio e questo non è specifico di Chrome. Vedi RFC 6125, sezione 6.4.3 per i dettagli su questo.

    
risposta data 29.08.2018 - 19:20
fonte

Leggi altre domande sui tag