it-swarm.dev

Chrome Avviso SSL: "Non puoi procedere perché l'operatore del sito web ha richiesto una maggiore sicurezza per questo dominio."

Sto cercando di andare all'URL seguente e Chrome mi avvisa che il certificato con caratteri jolly non è valido per questo dominio.

https://chart.apis.google.com/chart?cht=qr&chs=100x100&chl=otpauth%3A%2F%2Ftotp%2FTest123%204%3Fsecret%3DTKQWCOOJ7KJ4ZIR

All'inizio ho pensato che fosse una stranezza su come chrome gestisce gli URL con molti punti in un certificato jolly, tuttavia vedo questo testo nell'avvertimento e non riesco anche a fare clic

Non è possibile procedere perché l'operatore del sito Web ha richiesto una maggiore sicurezza per questo dominio.

Domanda

  • È un problema con i certificati e i sottodomini jolly di Chrome che hanno una profondità superiore a 2 strati?

  • L'errore indica che il proprietario del sito Web ha "fatto qualcosa" per far sì che i certificati jolly non funzionino per i sottodomini?

19

Prova questo Chrome hack: quando il browser mostra la pagina con il messaggio di certificato non valido, digita la tua tastiera "Word", quindi premi Invio.

Dovresti essere in grado di procedere alla pagina richiesta.

Nelle versioni più recenti di Chrome, potrebbe essere necessario digitare "pericolo" e premere invece Invio.

44
Duilio Protti

Questa è una funzione chiamata HTTP Strict Transport Security - vedi http://dev.chromium.org/sts e http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security .

I siti che inviano l'intestazione Strict-Transport-Security (o sono precaricati in Chrome, come apis.google.com) non sono accessibili quando il certificato SSL del server non è valido.

Il certificato inviato per chart.apis.google.com è valido per * .google.com, ma poiché il carattere jolly corrisponde solo a un singolo sottodominio, chart.apis non è valido.

Se apis.google.com non fosse incluso nell'elenco STS, Chrome mostrerebbe anche un pulsante per ignorare l'errore e procedere.

-

(L'URL HTTPS corretto per l'API di Google Chart è https://chart.googleapis.com/chart )

30
Joel L

Questo messaggio di errore attivato da una funzionalità del Web denominata "HTTP Strict Transport Security" che consente agli operatori del sito Web di comunicare ai browser che il loro sito deve essere contattato solo tramite una connessione HTTPS protetta. Questa funzione è specificata in RFC 6797 . In particolare, potresti voler leggere sezione 12.1 , che dice:

Nessun ricorso all'utente

La mancata istituzione della connessione sicura su eventuali avvisi o errori (come indicato nella Sezione 8.4 ("Errori nella struttura di trasporto sicura")) deve essere eseguita senza "ricorso dell'utente". Ciò significa che all'utente non dovrebbe essere presentata una finestra di dialogo che le dia la possibilità di procedere. Piuttosto, dovrebbe essere trattato in modo simile a un errore del server in cui l'utente non può fare nulla di più riguardo all'interazione con l'applicazione Web di destinazione, tranne attendere e riprovare.

In sostanza, "eventuali avvisi o errori" indica qualsiasi cosa che possa causare l'implementazione UA per annunciare all'utente che qualcosa non è del tutto corretto con la creazione della connessione.

Non farlo, ovvero consentire all'utente il ricorso, ad esempio "facendo clic su finestre di dialogo di avviso/errore", è una ricetta per un attacco man-in-the-middle. Se un'applicazione Web emette una politica HSTS, sta implicitamente optando per l'approccio "nessun ricorso all'utente", in base al quale tutti gli errori o gli avvisi del certificato causano la chiusura della connessione, senza possibilità di "ingannare" gli utenti nel prendere la decisione sbagliata e compromettersi .

Quindi se sei un utente del sito web che vede questo messaggio di errore, dovresti semplicemente aspettare ; non c'è niente che tu possa fare al riguardo se non segnalare il problema al proprietario del sito Web e attendere che lo risolva.

Vale tuttavia la pena notare che Chrome non è interamente conforme a questa norma, poiché ha un modo per aggirare il messaggio di errore inserendo un determinato stringa di caratteri sulla tastiera quando vedi il messaggio. Questa funzione è stata deliberatamente progettata per essere oscura per impedire agli utenti che non comprendono appieno quello che stanno facendo di danneggiare la propria sicurezza solo per sbarazzarsi dell'errore, e per rispetto per quell'obiettivo non pubblicherò la stringa qui, e incoraggio anche gli altri a evitare di farlo. Questa pagina è classificata in alto su Google per la query "Non puoi procedere perché l'operatore del sito Web ha richiesto una maggiore sicurezza per questo dominio", quindi gli utenti non informati che cercano il messaggio di errore finiranno probabilmente qui.

Se sei uno sviluppatore o un esperto di sicurezza e comprendi appieno le implicazioni del bypass di questo avviso, puoi trovare la stringa di bypass corrente (codificata in base64 per ulteriore oscurità) nel Chrome codice sorgente in il file components/security_interstitials/core/browser/resources/interstitial_large.js . Digitando la stringa (decodificata) che trovi in ​​Chrome quando vedi una pagina di errore di sicurezza TLS, ignorerai quella pagina e forzerai Chrome a caricare il sito. ( Puoi provarlo su https://subdomain.preloaded-hsts.badssl.com/ .) Usa queste informazioni in modo responsabile.

Inoltre, poiché hai chiesto, dovrei anche notare che nulla di tutto ciò ha a che fare con i certificati con caratteri jolly. I certificati jolly corrispondono solo a un singolo livello di sottodominio e questo non è specifico per Chrome. Vedere RFC 6125, sezione 6.4. per dettagli al riguardo.

3
Ajedi32