Un message d'erreur net :: ERR_INSECURE_RESPONSE s'affiche dans la console Chrome lors de l'extraction de données à partir de mon API.
Cette erreur se produit généralement à la suite d'un certificat non signé. Cependant, cela ne pose pas de problème car j'ai un certificat valide et signé.
L'erreur ne se produit pas souvent et disparaît si je redémarre mon navigateur Chrome. Cela ne se produit pas non plus dans aucun autre navigateur (testé sur Safari, Mozilla, Opera)
Une idée pourquoi cela se passe? Est-ce juste un bug de navigateur?
Cela se produit lorsque vous mettez à jour Chrome 55 vers Chrome 56 (56.0.2924.87).
Ceci est une augmentation de l'application de la sécurité.
Il ne disparaît pas en redémarrant le navigateur, et ce n'est pas un bug.
Mountain View dit espérer que vous ne rencontrerez jamais le message, car les autorités de certification doivent cesser d’émettre SHA-1 certificats en 2016. Au cas où, Google prévoit de continuer à émettre avertissements jusqu'à ce que Chrome cesse complètement de prendre en charge SHA-1 en janvier 1er 2017. Ce jour-là, un site Web qui utilise encore la fonction va déclencher une erreur réseau fatale . (Source: Engadget.com )
Si cela se produit, la cause la plus probable est que votre certificat SSL (ou celui du site Web) utilise SHA1.
SHA1 est cassé et les certificats SSL utilisant SHA1 ne sont plus sécurisés (cela fait longtemps que Chrome vous l’a montré - maintenant il bloque NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
).
Une autre cause probable est que votre certificat SSL a expiré
De plus, vous devez désactiver la compatibilité descendante avec SSL2 et SSL3 ( Poodle Attack ).
Vous ne devriez utiliser que TLS (SSL 3.1+).
Pour tester le certificat SSL de votre domaine, vous pouvez utiliser SSL labs SSL test .
Pour connaître la nature exacte du problème: Ouvrez la console de développement Chrome (CTRL + SHIFT + J OR F12) Et ouvrez l'onglet Sécurité.
Pour plus d'informations:
https://support.google.com/chrome/answer/95617?visit_id=1-636221392424272790-3454695657&p=ui_security_indicator&rd=1
FYI:
SHA-1 s'affaiblit et devient de moins en moins sûr chaque jour depuis une décennie maintenant, ce qui est dangereux, étant donné que nous avons tendance à faire confiance aux sites Web avec "https: //" dans leurs URL. D'autres navigateurs comme Mozilla Firefox et Microsoft Edge envisage également de cesser de le prendre en charge dans le but de encourager les propriétaires de sites Web à passer à des certificats SHA-2 plus sécurisés Dès que possible.
Si vous avez un besoin urgent de le contourner (vous devez d'abord fermer toutes les instances en cours d'exécution de Chrome - sinon, cela ne fonctionnera pas):
chrome --args --ignore-certificate-errors
Remarque: n'utilisez pas les services bancaires en ligne ni les courriels avec ces paramètres de ligne de commande actifs dans votre instance de Chrome.
J'ai eu un problème similaire récemment. J'essayais d'accéder à un point de terminaison https REST doté d'un certificat auto-signé. J'obtenais net::ERR_INSECURE_RESPONSE
dans la console Google Chrome. J'ai un peu cherché sur le Web pour trouver cette solution qui a fonctionné pour moi:
<url>
et vous devriez voir la réponse (s'il y en a une)Je recevais cette erreur sur Amazon.ca, meetup.com et la page d'accueil de Symantec.
Je suis allé à la page de mise à jour dans le navigateur Chrome (c'était à 53. *) et j'ai vérifié s'il y avait eu une mise à jour, et cela montrait qu'il n'y avait aucune mise à jour disponible . Après avoir posé des questions à mon bureau, il s’est avéré que la dernière version était la version 55 mais j’étais bloquée sur cette dernière pour une raison quelconque.
Après la mise à niveau (téléchargement manuel à partir du site Web de Chrome), les problèmes avaient disparu!
Le problème est peut-être un certificat intermédiaire manquant.
Vous pouvez vérifier votre https: // nomhôte avec curl, openssl ou un site Web du type https://www.digicert.com/help/ .
Aucune idée pourquoi Chrome (éventuellement) a parfois des problèmes pour valider ces certificats.
Pour moi, la réponse à cette question était disponible ici sur StackOverflow:
Malheureusement, ce changement peut causer des problèmes aux utilisateurs qui ont précédemment fait confiance au certificat racine Fiddler; le navigateur peut afficher un message d'erreur du type NET :: ERR_CERT_AUTHORITY_INVALID ou The le certificat n'a pas été émis par une autorité de certification de confiance.
(Citation de la source d'origine )
J'ai eu cette erreur ERR_CERT_AUTHORITY_INVALID sur le navigateur et ERR_INSECURE_RESPONSE affiché dans les outils de développement de Chrome.
Peut-être avez-vous rencontré ce problème: net :: ERR_INSECURE_RESPONSE
Vous devez vérifier les algorithmes de chiffrement pris en charge par votre serveur. Par exemple, pour Apache, vous pouvez configurer la suite de chiffrement de la manière suivante: suite de chiffrement .
Quelle version de chrome utilisez-vous et quel est le serveur qui dessert vos API?
Je rencontrais ce problème lorsque je testais mon application Cordova sur Android. Il se trouve que cet appareil Android ne conserve pas sa date et qu'il reprendra sa date d'usine. L'API qu'elle appelle a un certificat valide à partir de cette année, alors que la date du périphérique après le démarrage est 2017. Pour l'instant, je dois adb Shell
et modifier la date manuellement.
Je ne sais pas si cette question est plus pertinente, mais cela m'est arrivé sur un client pour lequel un horodatage incorrect a été défini sur Windows. Ce sera une alternative à regarder . Si c'est le cas, il se reproduira aussi sur d'autres navigateurs (au moins, sur Firefox et Chrome).
Je l'ai corrigé en mettant à jour la date/heure sous Windows avec la date et la date réelles . J'espère que cela aidera quelqu'un.