1. ホーム
  2. google-chrome

[解決済み] badidea」や「thisisunsafe」を使ってChromeの証明書/HSTSエラーを回避する場合、現在のサイトにのみ適用されるのでしょうか?[クローズド]

2022-03-01 03:27:39

質問内容

ウェブアプリケーションを開発していると、Chromeが特定のサイトにアクセスできず、証明書/HSTSエラーを投げることがよくあります。私は badidea (最近では thisisunsafe をクリックすると、証明書の検証を省略することができます。

それとも、このキーワードを使用した後、Chromeはすべてのサイトの証明書/HSTSエラーを無視するのでしょうか?

解決方法は?

これは、各サイトに特有のものです。そのため、一度入力すれば、そのサイトのみ通過でき、他のサイトはすべて同様のタイプスルーが必要になります。

また、そのサイト用に記憶されているので、南京錠をクリックしてリセットする必要があります(そうすれば、もう一度入力できます)。

もちろん、この機能を使用することは悪い考えであり、安全でないことは言うまでもありません。

そのサイトがなぜエラーを表示しているのか、その原因を突き止め、修正されるまで利用を中止すべきです。HSTSは特に、不正な証明書をクリックするのを防ぐための保護機能を追加しています。HSTSが必要ということは、httpsの接続に何か問題があることを示唆しています。

クロームの開発者も定期的に変更しています。最近、次のように変更されました。 badidea から thisisunsafe を使用しているため、全員が badidea が、突然使えなくなった。依存してはいけないのです。下のコメントでSteffenさんが指摘されている通りです。 のコードで利用可能です。 というのも、現在ではよりわかりにくくするためにbase64でエンコードしていますが、また変更される可能性があります。前回変更されたときは このコメントはコミットで :

<ブロッククオート

間歇泉バイパスキーワードを回転させる

セキュリティインタースティシャルバイパスのキーワードは、2年間変わっていません。 と、ブログやSNSで迂回路の認知度が上がっています。 メディア キーワードをローテーションすることで、誤用を防ぐことができます。

Chromeチームからのメッセージは明確だと思います - 使わないほうがいい。今後、完全に削除されても不思議ではありません。

自己署名証明書をローカルテストに使用する際にこれを使用する場合、自己署名証明書証明書をコンピュータの証明書ストアに追加すれば、緑の南京錠が表示され、これを入力する必要はないのではないでしょうか?注Chromeでは SAN フィールドを使用するようになったので、もし古い subject フィールドを追加しても、証明書ストアに緑色の南京錠が表示されることはありません。

証明書を信頼しないままにしておくと、ある種のことが機能しなくなります。 信頼されていない証明書では、例えばキャッシュは完全に無視されます。 . 同様に HTTP/2 プッシュ .

HTTPS は今後も続くものであり、私たちは HTTPS を適切に使用することに慣れる必要があります。また、変更される可能性があり、完全な HTTPS ソリューションと同じようには機能しないハッキングで警告を回避するのはやめましょう。