¿El uso de 'badidea' o 'thisisunsafe' para omitir un certificado de Chrome / error HSTS solo se aplica al sitio actual? [cerrado]

85

A veces, y especialmente muy a menudo, cuando se desarrolla una aplicación web, Chrome no le permite visitar ciertos sitios y arrojar un error de certificado / HSTS. Descubrí que escribir badidea(más recientemente thisisunsafe) en la ventana de Chrome le indicará a Chrome que omita la validación del certificado.

¿Esta solución solo funciona para un sitio específico, o Chrome ignorará los errores de certificado / HSTS para todos los sitios después de haber usado esta palabra clave?

google-chrome security ssl certificate sk1llfull
fuente

Respuestas:

78

Esto es específico para cada sitio. Entonces, si escribe eso una vez, solo pasará por ese sitio y todos los demás sitios necesitarán un tipo de escritura similar.

También se recuerda para ese sitio y tienes que hacer clic en el candado para resetearlo (para que puedas volver a escribirlo):

ingrese la descripción de la imagen aquí

No hace falta decir que el uso de esta "función" es una mala idea y no es seguro, de ahí el nombre.

Debe averiguar por qué el sitio muestra el error y / o dejar de usarlo hasta que lo solucionen. HSTS agrega específicamente protecciones para malos certificados para evitar que haga clic en ellos. El hecho de que sea necesario sugiere que hay algún problema con la conexión https, como si el sitio o su conexión hayan sido pirateados.

Los desarrolladores de Chrome también cambian esto periódicamente. Lo cambiaron recientemente de badideaa thisisunsafepara que todos los que lo usaban badidea, de repente dejaran de poder usarlo. No deberías depender de ello. Como señaló Steffen en los comentarios a continuación, está disponible en el código en caso de que cambie nuevamente, aunque ahora lo codifican en base64 para hacerlo más oscuro. La última vez que cambiaron, pusieron este comentario en el compromiso :

Rotar la palabra clave de omisión intersticial

La palabra clave de omisión de intersticiales de seguridad no ha cambiado en dos años y se ha incrementado el conocimiento de la omisión en blogs y redes sociales. Gire la palabra clave para ayudar a prevenir el uso indebido.

Creo que el mensaje del equipo de Chrome es claro: no debes usarlo. No me sorprendería si lo eliminaran por completo en el futuro.

Si está usando esto cuando usa un certificado autofirmado para pruebas locales, ¿por qué no simplemente agrega su certificado de certificado autofirmado al almacén de certificados de su computadora para obtener un candado verde y no tener que escribir esto? Tenga en cuenta que Chrome insiste en un SANcampo en los certificados ahora, por lo que si solo usa el subjectcampo anterior, incluso agregarlo al almacén de certificados no dará como resultado un candado verde.

Si no confía en el certificado, algunas cosas no funcionan. El almacenamiento en caché, por ejemplo, se ignora por completo para los certificados que no son de confianza . Como es HTTP / 2 Push .

HTTPS está aquí para quedarse y debemos acostumbrarnos a usarlo correctamente, y no eludir las advertencias con un truco que puede cambiar y no funciona igual que una solución HTTPS completa.

Barry Pollard
fuente
1
Gracias, @BazzaDP, sin embargo, esto no solo funciona para una sesión específica. Estoy usando un certificado autofirmado que es bueno en términos de confianza.
sk1llfull
Mirando la forma en que se implementa , tiene razón.
Stefan
1
@FranklinYu siempre ha persistido, pero si desea restaurar las advertencias, puede hacer clic en el candado y luego en "Volver a habilitar las advertencias para este sitio".
dragon788
3
Si les importa tanto la seguridad, ¿por qué al hacer clic en el candado no se muestra información alguna sobre la cadena de certificados en uso?
LtWorf
3
Porque nadie lo miró, excepto los expertos, que podrían obtenerlo de las herramientas de desarrollo en la pestaña Seguridad. Personalmente, pensé que era peor cuando pusieron demasiada información allí ( security.stackexchange.com/questions/52834/… ). Pero sí, estoy de acuerdo con usted en que es bueno poder ver el certificado completo para aquellos que quieran y me alegro de que lo hayan traído de vuelta; tal vez no lo haya notado, pero ahora si hace clic en el "Certificado (válido)" redacción, puede ver el cuadro de diálogo habitual del sistema, incluida la cadena.
Barry Pollard
10

Soy un desarrollador de PHP y para poder trabajar en mi entorno de desarrollo con un certificado, pude hacer lo mismo encontrando el certificado SSL HTTPS / HTTP real y eliminándolo.

Los pasos son:

  1. En la barra de direcciones, escriba "chrome: // net-internals / # hsts".
  2. Escriba el nombre de dominio en el campo de texto debajo de "Eliminar dominio".
  3. Haga clic en el botón "Eliminar".
  4. Escriba el nombre de dominio en el campo de texto debajo de "Dominio de consulta".
  5. Haga clic en el botón "Consulta".
  6. Su respuesta debe ser "No encontrado".

Puede encontrar más información en: http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Aunque esta solución no es la mejor, Chrome actualmente no tiene ninguna buena solución por el momento. He escalado esta situación con su equipo de soporte para ayudar a mejorar la experiencia del usuario.

Editar: tienes que repetir los pasos cada vez que vayas al sitio de producción.

aneth101
fuente
4

Los errores de SSL a menudo son lanzados por software de administración de red como Cyberroam.

Para responder tu pregunta,

que va a tener que entrar en badidea en Chrome cada vez que visita un sitio web.

Es posible que en ocasiones tenga que ingresarlo más de una vez, ya que el sitio puede intentar extraer varios recursos antes de la carga, lo que provoca múltiples errores de SSL

Paulo
fuente
Si no funciona, vea aquí y aquí
sanmai
Solo tendrá que ingresar esto para cada nuevo dominio / subdominio que visite, una vez que haya confiado en un certificado (incluso si no es válido), Chrome lo recordará.
dragon788
2
Tenga en cuenta que, como se menciona ahora en la pregunta, la frase de contraseña ha cambiado nuevamente. A partir de Chrome 65 lo es thisisunsafe.
Greg A. Woods
¿Dónde escribe esto no es seguro? ¿En la barra de direcciones?
user2026318
2
@ user2026318 Simplemente escríbalo mientras está en la página de emisión del certificado
sparkhee93