Chrome Avertissement SSL: "Vous ne pouvez pas continuer car l'opérateur du site Web a demandé une sécurité renforcée pour ce domaine."
J'essaie d'accéder à l'URL ci-dessous et Chrome m'avertit que le certificat générique n'est pas valide pour ce domaine.
Au début, je pensais que c'était une bizarrerie sur la façon dont chrome gère les URL avec de nombreux points dans un certificat générique, mais je vois ce texte dans l'avertissement et je ne peux pas non plus cliquer sur
Vous ne pouvez pas continuer car l'opérateur du site Web a demandé une sécurité renforcée pour ce domaine.
Question
Est-ce un problème avec les certificats génériques et sous-domaines de Chrome qui ont plus de 2 couches de profondeur?
L'erreur signifie-t-elle que le propriétaire du site Web a "fait quelque chose" pour que les certificats génériques ne fonctionnent pas pour les sous-domaines?
Veuillez essayer ceci Chrome hack: lorsque le navigateur affiche la page avec le message de certificat invalide, tapez dans votre clavier le mot "continuer" puis appuyez sur Entrée.
Vous devriez pouvoir accéder à la page demandée.
Sur les nouvelles versions de Chrome, vous devrez peut-être taper "danger" et appuyer sur Entrée à la place.
Il s'agit d'une fonctionnalité appelée HTTP Strict Transport Security - voir http://dev.chromium.org/sts et http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security .
Les sites qui envoient l'en-tête Strict-Transport-Security (ou qui sont préchargés dans Chrome, comme apis.google.com) ne sont pas accessibles lorsque le certificat SSL du serveur n'est pas valide.
Le certificat envoyé pour chart.apis.google.com est valide pour * .google.com, mais comme le caractère générique ne correspond qu'à un seul sous-domaine, chart.apis n'est pas valide.
Si apis.google.com n'était pas inclus dans la liste STS, Chrome afficherait également un bouton pour ignorer l'erreur et continuer.
-
(L'URL HTTPS correcte pour l'API Google Chart est https://chart.googleapis.com/chart )
Ce message d'erreur déclenché par une fonctionnalité du Web appelée "HTTP Strict Transport Security" qui permet aux opérateurs de sites Web d'indiquer aux navigateurs que leur site doit uniquement être contacté via une connexion HTTPS sécurisée. Cette fonctionnalité est spécifiée dans RFC 6797 . En particulier, vous voudrez peut-être lire section 12.1 , qui dit:
Aucun recours utilisateur
Un échec de l'établissement d'une connexion sécurisée en cas d'avertissement ou d'erreur (conformément à la section 8.4 ("Erreurs dans l'établissement d'un transport sécurisé")) doit être effectué sans "recours de l'utilisateur". Cela signifie que l'utilisateur ne devrait pas être présenté avec une boîte de dialogue lui donnant la possibilité de continuer. Elle doit plutôt être traitée de la même manière qu'une erreur de serveur où l'utilisateur ne peut rien faire de plus pour interagir avec l'application Web cible, à part attendre et réessayer.
Essentiellement, "tous les avertissements ou erreurs" signifient tout ce qui pourrait amener l'implémentation d'UA à annoncer à l'utilisateur que quelque chose n'est pas entièrement correct avec l'établissement de la connexion.
Ne pas le faire, c'est-à-dire permettre à l'utilisateur de recourir à des "dialogues d'avertissement/d'erreur", par exemple, est une recette pour une attaque de l'homme du milieu. Si une application Web émet une stratégie HSTS, elle opte implicitement pour l'approche "sans recours utilisateur", selon laquelle toutes les erreurs de certificat ou avertissements entraînent une interruption de la connexion, sans aucune possibilité de "tromper" les utilisateurs pour qu'ils prennent la mauvaise décision et se compromettent eux-mêmes. .
Donc si vous êtes un utilisateur du site Web voyant ce message d'erreur, vous devez simplement attendre ; vous ne pouvez rien faire d'autre que signaler le problème au propriétaire du site Web et attendre qu'il le corrige.
Il convient toutefois de noter que Chrome n'est pas entièrement conforme à cette politique, car il a un moyen de contourner le message d'erreur en entrant un certain chaîne de caractères sur votre clavier lorsque vous voyez le message. Cette fonctionnalité est délibérément conçue pour être obscure afin d'empêcher les utilisateurs qui ne comprennent pas parfaitement ce qu'ils font de nuire à leur propre sécurité juste pour se débarrasser de l'erreur, et par respect pour cet objectif, je ne publierai pas la chaîne ici, et j'encourage les autres à éviter de le faire également. Cette page est bien classée sur Google pour la requête "Vous ne pouvez pas continuer car l'opérateur du site Web a demandé une sécurité renforcée pour ce domaine.", Donc les utilisateurs non informés recherchant le message d'erreur finiront probablement ici.
Si vous êtes un développeur ou un expert en sécurité et que vous comprenez parfaitement les implications du contournement de cet avertissement, vous pouvez trouver la chaîne de contournement actuelle (codée en base64 pour plus d'obscurité) dans le Chrome dans le fichier components/security_interstitials/core/browser/resources/interstitial_large.js . En tapant la chaîne (décodée) que vous y trouverez dans Chrome lorsque vous voyez une page d'erreur de sécurité TLS contournera cette page et forcera Chrome pour charger le site. ( Vous pouvez tester cela sur https://subdomain.preloaded-hsts.badssl.com/ .) Veuillez utiliser ces informations de manière responsable.
De plus, comme vous l'avez demandé, je dois également noter que rien de tout cela n'a à voir avec les certificats génériques. Les certificats génériques ne correspondent qu'à un seul niveau de sous-domaine, ce qui n'est pas spécifique à Chrome. Voir RFC 6125, section 6.4. pour plus de détails à ce sujet.