Chrome: il sito Web utilizza HSTS. Errori di rete ... questa pagina probabilmente funzionerà in seguito

Sto sviluppando contro localhost. Questa mattina, subito dopo aver usato il violinista, ho iniziato a ricevere questo errore su Chrome (funziona correttamente in Firefox)

"Non puoi visitare localhost in questo momento perché il sito Web utilizza HSTS. Gli errori e gli attacchi di rete sono generalmente temporanei, quindi questa pagina probabilmente funzionerà in seguito."

Ora localhost funziona in Chrome solo se il violinista è in esecuzione. Mi sono già assicurato che i reindirizzamenti proxy che il violinista fa siano corretti quando il violinista si spegne.

Ho anche provato a importare il certificato nella mia radice attendibile e a riavviare il browser (e anche la macchina).

Un modo molto rapido per aggirare questo è, quando stai visualizzando la schermata "La tua connessione non è privata":

genere badidea

tipo thisisunsafe(credito a The Java Guy per aver trovato la nuova passphrase)

Ciò consentirà l'eccezione di sicurezza quando Chrome non consente altrimenti di impostare l'eccezione tramite click-through, ad esempio per questo caso HSTS.

Ciò è consigliato solo per connessioni locali e macchine virtuali di rete locale, ovviamente, ma ha il vantaggio di lavorare per macchine virtuali utilizzate per lo sviluppo (ad es. Connessioni locali port forwarding) e non solo per connessioni localhost locali.

Nota: gli sviluppatori di Chrome hanno modificato questa passphrase in passato e potrebbero farlo di nuovo. Se badideasmette di funzionare, lascia una nota qui se impari la nuova passphrase. Proverò a fare lo stesso.

Modifica: dal 30 gennaio 2018 questa frase sembra non funzionare più.

Se riesco a cercarne uno nuovo, lo posterò qui. Nel frattempo, mi prenderò il tempo per impostare un certificato autofirmato usando il metodo descritto in questo post di StackOverflow:

Come creare un certificato autofirmato con openssl?

Modifica: a partire dal 1 marzo 2018 e dalla versione 64.0.3282.186 di Chrome questa passphrase funziona di nuovo per i blocchi relativi a HSTS sui siti .dev.

Modifica: dal 9 marzo 2018 e dalla versione 65.0.3325.146 di Chrome la badideapassphrase non funziona più.

Modifica 2: il problema con i certificati autofirmati sembra essere che, con gli standard di sicurezza più severi in questi giorni, causano il lancio dei propri errori (nginx, ad esempio, rifiuta di caricare un certificato SSL / TLS che include un certificato autofirmato nella catena di autorità, per impostazione predefinita).

La soluzione con cui sto andando ora è quella di scambiare il dominio di primo livello su tutti i miei siti di sviluppo .app e .dev con .test o .localhost. Chrome e Safari non accetteranno più connessioni non sicure a domini di primo livello standard (incluso .app).

L'elenco attuale di domini di primo livello standard è disponibile in questo articolo di Wikipedia, inclusi i domini per uso speciale:

Wikipedia: Elenco dei domini di primo livello di Internet: domini per uso speciale

Questi domini di primo livello sembrano essere esenti dalle nuove restrizioni solo https:

• .Locale
• .localhost
• .test
• (qualsiasi dominio di livello superiore personalizzato / non standard)

Vedere la risposta e il collegamento da codinghands alla domanda originale per ulteriori informazioni:

risposta da codinghands

Quando in precedenza hai visitato https: // localhost ad un certo punto, non solo lo ha visitato su un canale sicuro (https anziché http), ma lo ha anche detto al tuo browser, utilizzando un'intestazione HTTP speciale: Strict-Transport-Security (spesso abbreviato in HSTS ), che dovrebbe usare SOLO https per tutte le visite future.

Questa è una funzione di sicurezza che i server Web possono utilizzare per impedire il downgrade delle persone a http (intenzionalmente o da una parte malvagia).

Tuttavia, se poi si spegne il server https e si desidera semplicemente navigare in http non è possibile (in base alla progettazione, questo è il punto di questa funzionalità di sicurezza).

HSTS ti impedisce anche di accettare e saltare gli errori del certificato passati.

Per reimpostarlo, quindi HSTS non è più impostato per localhost, digita quanto segue nella barra degli indirizzi di Chrome:

chrome://net-internals/#hsts

Dove sarai in grado di eliminare questa impostazione per "localhost".

Potresti anche voler scoprire cosa lo stava impostando per evitare questo problema in futuro!

Nota che per altri siti (ad es. Www.google.com) questi sono "precaricati" nel codice Chrome e quindi non possono essere rimossi. Quando li interroghi su chrome: // net-internals / # hsts li vedrai elencati come staticvoci HSTS.

E infine nota che Google ha iniziato a precaricare HSTS per l'intero dominio .dev: https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

Fai clic in un punto qualsiasi della finestra di Chrome e digita thisisunsafe(anziché in badideaprecedenza) in Chrome.

Questa passphrase potrebbe cambiare in futuro. Questa è la fonte

https://chromium.googlesource.com/chromium/src/+/master/components/security_interstitials/core/browser/resources/interstitial_large.js#19

Secondo quella linea, digita la window.atob('dGhpc2lzdW5zYWZl')tua console del browser e ti darà la passphrase effettiva.

Questa volta la passphrase è thisisunsafe.

Ho avuto questo problema con i siti in esecuzione su XAMPP con nomi host privati. Non così privato, si scopre! Erano tutti domain.dev, che Google ha ora registrato come gTLD privato e sta forzando HSTS a livello di dominio. Modificato ogni host virtuale in .devel(eugh), riavviato Apache e ora tutto va bene.

Recentemente ho avuto lo stesso problema durante il tentativo di accesso che utilizzano domini CloudFlare origine CA .

L'unico modo per trovare una soluzione alternativa / evitare l'eccezione cert HSTS su Chrome (build di Windows) era seguire le brevi istruzioni in https://support.opendns.com/entries/66657664 .

La soluzione alternativa:
aggiungi a Chrome la scorciatoia della bandiera --ignore-certificate-errors, quindi riaprila e naviga sul tuo sito web.

Promemoria:
utilizzalo solo a scopo di sviluppo.

Vedo che ci sono così tante risposte utili qui ma ancora, mi imbatto in un articolo utile e utile là fuori. https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/

Ho riscontrato lo stesso problema e quell'articolo mi ha aiutato a capire di cosa si tratta esattamente e come gestirlo HTH :-)

Si è verificato un errore simile. resettare chrome: // net-internals / # hsts non ha funzionato per me. Il problema era che l'orologio della mia VM era inclinato da giorni. reimpostare il tempo ha funzionato per risolvere questo problema. https://support.google.com/chrome/answer/4454607?hl=en

Riscontro lo stesso errore e anche la modalità di navigazione in incognito ha lo stesso problema. Risolvo questo problema cancellando la cronologia di Chrome.

Ho sofferto di questo problema per molto tempo. Non sono stato in grado di aprire siti Web come GitHub. Ho quasi provato tutte le risposte sul web e nessuno ha funzionato. Ho provato a reinstallare anche Chrome. Ho trovato la soluzione per questo dal nostro ragazzo di rete e ha funzionato. C'è una correzione nel registro che risolverà questo errore per una base permanente.

1. Premi il tasto Windows + R per aprire la finestra di dialogo Esegui
2. digitare: regedit e premere Invio per aprire il registro
3. Nella vista ad albero a sinistra fare clic sul seguente percorso HKEY_LOCAL_MACHINE> SOFTWARE> POLITICHE> Microsoft> Certificato di sistema> Authroot
4. Ora fai doppio clic su DisableRootAutoUpdate sulla destra e impostalo su 0 (zero) nella finestra di dialogo che appare
5. Riavvia il PC per applicare le modifiche al registro e non otterrai più questo errore

La soluzione sopra è per Windows 8. È quasi identica nelle versioni successive ma non sono sicuro per le versioni precedenti come XP e Vista. Quindi deve essere verificato.