Chrome: वेबसाइट HSTS का उपयोग करती है। नेटवर्क त्रुटियां ... संभवत: पृष्ठ बाद काम करेंगे

161

मैं लोकलहोस्ट के खिलाफ विकसित हो रहा हूं। आज सुबह ठीक बाद जब मैंने फ़िडलर का उपयोग किया तो मुझे क्रोम पर यह त्रुटि आनी शुरू हो गई (फ़ायरफ़ॉक्स में सही ढंग से काम करता है)

"आप अभी लोकलहोस्ट का दौरा नहीं कर सकते क्योंकि वेबसाइट HSTS का उपयोग करती है। नेटवर्क त्रुटियां और हमले आमतौर पर अस्थायी होते हैं, इसलिए यह पृष्ठ संभवतः बाद में होगा।"

अब लोकलहोस्ट क्रोम में तभी काम करता है जब फ़िडलर चल रहा हो। मैंने पहले ही सुनिश्चित कर लिया था कि प्रॉक्सी पुनर्निर्देशित करता है कि फ़िडलर सही हो जाता है जब फ़िडलर बंद हो जाता है।

मैंने अपने विश्वसनीय रूट को प्रमाणपत्र आयात करने और ब्राउज़र (और मशीन) को पुनरारंभ करने का भी प्रयास किया।

google-chrome fiddler

— developer747
स्रोत

2

मैं इस मुद्दे का सामना करता हूं जब आईटी व्यवस्थापक अपनी नीतियों को बदलते हैं। कमांड चलाने के लिए मुझे जो कुछ करना है वह है: gpupdate / force

— याकूब फान

189

इसके आसपास एक बहुत ही त्वरित तरीका है, जब आप "आपका कनेक्शन निजी नहीं है" स्क्रीन देख रहे हैं:

~~प्रकार badidea~~

टाइप thisisunsafe(करने के लिए क्रेडिट जावा लड़का नए पासफ़्रेज़ को खोजने के लिए)

जब Chrome अन्यथा इस HSTS मामले के लिए क्लिकथ्रू के माध्यम से सेट होने की अनुमति नहीं दे रहा है, तो सुरक्षा अपवाद की अनुमति देगा।

यह केवल स्थानीय कनेक्शन और स्थानीय-नेटवर्क वर्चुअल मशीनों के लिए अनुशंसित है, जाहिर है, लेकिन इसका विकास के लिए उपयोग किए जा रहे वीएम के लिए काम करने का लाभ है (उदाहरण के लिए पोर्ट-फॉरवर्ड स्थानीय कनेक्शन) और न केवल डायरेक्ट लोकलहोस्ट कनेक्शन।

नोट: Chrome डेवलपर्स ने इस पासफ़्रेज़ को अतीत में बदल दिया है, और ऐसा फिर से कर सकते हैं। यदि आप badideaकाम करना बंद कर देते हैं, तो कृपया एक पास छोड़ दें यदि आप नया पासफ़्रेज़ सीखते हैं। मैं भी ऐसा ही करने की कोशिश करूंगा।

~~संपादित करें: 30 जनवरी 2018 तक यह पासफ़्रेज़ अब काम नहीं करता है।~~

अगर मैं एक नया शिकार कर सकता हूँ तो मैं इसे यहाँ पोस्ट करूँगा। इस बीच मैं इस स्टैकओवरफ़्लो पोस्ट में उल्लिखित विधि का उपयोग करके एक स्व-हस्ताक्षरित प्रमाणपत्र सेट करने का समय लेने जा रहा हूं:

~~Opensl के साथ स्व-हस्ताक्षरित प्रमाण पत्र कैसे बनाएं?~~

संपादित करें: 1 मार्च 2018 और क्रोम संस्करण 64.0.3282.186 के रूप में। यह पासफ़्रेज़ .dev साइटों पर HSTS- संबंधित ब्लॉकों के लिए फिर से काम करता है।

संपादित करें: 9 मार्च 2018 तक और क्रोम संस्करण 65.0.3325.146 badideaपासफ़्रेज़ अब काम नहीं करता है।

संपादित करें 2: स्व-हस्ताक्षरित प्रमाण पत्र के साथ परेशानी यह प्रतीत होती है कि, इन दिनों बोर्ड में सुरक्षा मानकों को कड़ा करने के साथ, वे अपनी त्रुटियों को फेंकने का कारण बनते हैं (nginx, उदाहरण के लिए, SSL / TLS प्रमाणपत्र को लोड करने से इनकार करते हैं जिसमें शामिल हैं डिफ़ॉल्ट रूप से प्राधिकरण की श्रृंखला में स्व-हस्ताक्षरित प्रमाण पत्र)।

अब मैं जिस समाधान के साथ जा रहा हूं, वह मेरे सभी .app और .dev विकास स्थलों या .localhost पर शीर्ष-स्तरीय डोमेन को स्वैप करना है। क्रोम और सफारी अब मानक शीर्ष-स्तरीय डोमेन (सहित .app) के लिए असुरक्षित कनेक्शन स्वीकार नहीं करेंगे।

मानक शीर्ष-स्तरीय डोमेन की वर्तमान सूची को इस विकिपीडिया लेख में पाया जा सकता है, जिसमें विशेष-उपयोग डोमेन शामिल हैं:

विकिपीडिया: इंटरनेट के शीर्ष स्तर के डोमेन की सूची: विशेष उपयोग डोमेन

ये शीर्ष-स्तरीय डोमेन नए https-केवल प्रतिबंधों से मुक्त प्रतीत होते हैं:

.local
.localhost
।परीक्षा
(कोई भी कस्टम / गैर-मानक शीर्ष-स्तरीय डोमेन)

अधिक जानकारी के लिए मूल प्रश्न का कोडिंगहैंड्स से उत्तर और लिंक देखें:

कोडिंगहैंड्स से उत्तर

— रिक ग्लैडविन
स्रोत

18

ऐसा कुछ भी कभी नहीं सुना, लेकिन किसी कारण से यह काम करता है! धन्यवाद!

— एलेक्सी

बड़े पैमाने पर मदद! आपको बहुत - बहुत धन्यवाद!

— RHSmith159

मैं इस काम पर विश्वास भी नहीं कर सकता, लेकिन यह करता है। मुझे यकीन नहीं है कि मुझे खुश होना चाहिए या नाराज होना चाहिए कि यह दस्तावेज नहीं है; मैंने देव वातावरण पर इस बकवास से निपटने के लिए पिछले कुछ वर्षों में खर्च किया है।

— स्कॉट बायर्स

7

उपयोग thisisunsafeकी insread badidea। इसे नए संस्करण

— द जावा गाइ

यह +1 काम करता है, हालांकि क्रोम को वास्तव में चेतावनी के साथ आगे बढ़ने के लिए एक विकल्प जोड़ना चाहिए, बजाय सिर्फ अवरुद्ध करने के

— 5413668060

186

जब आपने https: // लोकलहोस्ट का दौरा किया , तो कुछ बिंदु पर यह न केवल एक सुरक्षित चैनल (http के बजाय https) पर गया, इसने आपके ब्राउज़र को भी बताया, एक विशेष HTTP हेडर का उपयोग करते हुए: सख्त-परिवहन-सुरक्षा (अक्सर HSTS के लिए संक्षिप्त ), कि यह भविष्य की सभी यात्राओं के लिए केवल https का उपयोग करे।

यह एक सुरक्षा सुविधा है जो वेब सर्वर लोगों को http (या तो जानबूझकर या किसी बुरी पार्टी द्वारा) को डाउनग्रेड करने से रोकने के लिए उपयोग कर सकता है।

हालाँकि यदि आप तब अपने https सर्वर को बंद कर देते हैं, और बस http ब्राउज़ करना चाहते हैं, तो आप (डिज़ाइन द्वारा - इस सुरक्षा सुविधा की बात नहीं कर सकते)।

HSTS आपको पिछले प्रमाणपत्र त्रुटियों को स्वीकार करने और छोड़ देने से भी रोकता है।

इसे रीसेट करने के लिए, इसलिए HSTS अब लोकलहोस्ट के लिए सेट नहीं है, अपने Chrome एड्रेस बार में निम्न टाइप करें:

chrome://net-internals/#hsts

जहां आप "लोकलहोस्ट" के लिए इस सेटिंग को हटा सकेंगे।

आप यह भी पता लगाना चाह सकते हैं कि भविष्य में इस समस्या से बचने के लिए यह क्या सेट कर रहा था!

ध्यान दें कि अन्य साइटों (जैसे www.google.com) पर ये क्रोम कोड में "प्रीलोडेड" हैं और इसलिए इन्हें हटाया नहीं जा सकता। जब आप उन्हें क्रोम पर क्वेरी करते हैं: // net-internals / # hsts तो आप उन्हें staticHSTS प्रविष्टियों के रूप में सूचीबद्ध देखेंगे ।

और अंत में ध्यान दें कि Google ने .ST डोमेन के लिए HSTS प्रीलोड करना शुरू किया है: https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

— बैरी पोलार्ड
स्रोत

मुझे यह gmail.com के लिए मिल रहा है। मैं chrome: // net-internals / # hsts और queried gmail.com गया, मिला: static_sts_domain: gmail.com static_upgrad_mode: STRICT ने डोमेन को हटाने की कोशिश की, लेकिन मुझे अभी भी समस्या हो रही है।

— पेइगो

यह जवाब मुझे समझ में आता है। हालांकि मेरा मुद्दा यह है कि मैंने एक वेबसाइट नेमसेवर को वर्डप्रेस (वर्डप्रेस होस्टेड) से अपने सर्वर (सेल्फ होस्टेड) में बदल दिया है और अब यह और संभवत: सभी क्रोम आगंतुकों को मिल रहा है। किसी भी विचार कैसे उनके कैश को हटाने के बिना आगंतुकों के लिए इसके चारों ओर पाने के लिए?

— टॉम सीपी

2

मूल रूप से केवल उत्तर HTTPS का उपयोग करने के लिए आगे जा रहा है या उपयोगकर्ताओं को यह कैश नहीं है उम्मीद है। HTTPS, LetsEncrypt से आगे और मुक्त होने का मार्ग है। आपको यह भी जांचना चाहिए कि क्या किसी ने आपकी साइट को ब्राउज़र कोड में लोड किया है, लेकिन लगता है कि आप इसे स्वयं रीसेट करने में सक्षम नहीं हैं। नहीं पता Wordpress स्वचालित रूप से जोड़ने HSTS तो आश्चर्य है कि कैसे वहाँ पर मिला है।

— बैरी पोलार्ड

धन्यवाद @BazzaDP - इसके आसपास कोई रास्ता नहीं देख सकता। मुझे नाम बदलने वालों को वापस बदलना पड़ सकता है, यह पता कर सकते हैं कि पुरानी साइट HTTPS को मजबूर कर रही थी, फिर कोशिश करें और फिर से माइग्रेट करें। आप बस Wordpress से FTP को नई साइट पर होस्ट किए गए ब्लॉग पर नहीं

— भेज सकते हैं

2

जैसा कि मैंने अपने उत्तर में उल्लेख किया है कि प्रीलोडेड (या स्टैटिक एसटीएस) प्रविष्टियों को हटाया नहीं जा सकता है क्योंकि वे क्रोम कोड में मौजूद हैं और स्थानीय स्तर पर सूची में नहीं हैं। और मेरे उत्तर में मेरी अंतिम पंक्ति के अनुसार, Google ने पूरे देव डोमेन को प्रीलोड करने का निर्णय लिया है।

— बैरी पोलार्ड

23

क्रोम विंडो में कहीं भी क्लिक करें और क्रोम में thisisunsafe( badideaपहले के बजाय ) टाइप करें ।

यह पासफ़्रेज़ भविष्य में बदल सकता है। यह स्रोत है

https://chromium.googlesource.com/chromium/src/+/master/components/security_interstitials/core/browser/resources/interstitial_large.js#19

उस पंक्ति के अनुसार, window.atob('dGhpc2lzdW5zYWZl')अपने ब्राउज़र कंसोल पर टाइप करें और यह आपको वास्तविक पासफ़्रेज़ देगा।

इस समय पासफ़्रेज़ है thisisunsafe।

— जावा गाय
स्रोत

19

मेरा यह मुद्दा निजी होस्टनाम के साथ XAMPP पर चलने वाली साइटों के साथ था। इतना निजी नहीं है, यह पता चला है! वे सभी थे domain.dev, जिन्हें Google ने अब एक निजी gTLD के रूप में पंजीकृत किया है , और डोमेन स्तर पर HSTS के लिए मजबूर कर रहा है। .devel(Eugh) को हर वर्चुअल होस्ट को बदला , Apache को फिर से शुरू किया और अब सब ठीक है।

— codinghands
स्रोत

मैं ओपेरा 50.0.2762.9 के साथ इस मुद्दे की पुष्टि कर सकता हूं और प्रतिबंध के चारों ओर काम .devकरने के लिए अपने विकास डोमेन को स्विच कर रहा हूं .devel।

— कोर्टनी माइल्स

5

RFC 2606 विशेष रूप से निजी परीक्षण के साथ संघर्ष को रोकने के लिए कुछ शीर्ष स्तर के डोमेन रखता है। ऐसा लगता है कि .testविकास के वातावरण के लिए स्विच करने के लिए शायद सबसे सही एक है।

— कोर्टनी माइल्स

यह सचमुच मेरे जीवन को बचाने के दिनों के बाद यह जानने में असमर्थ था कि क्रोम मेरे .devलोकलहोस्ट डोमेन पर ऐसा क्यों काम कर रहा था ... भगवान, कौन जानता होगा ...

— डी। पेट्रोव

ठीक है, वास्तव में .test केवल वर्तमान या नए DNS संबंधित कोड के परीक्षण में उपयोग के लिए अनुशंसित है।

— एलेक्सी

यहीं से मेरी समस्या हल हुई। मैं अपने विकास के लिए लारगन का उपयोग कर रहा हूं।

— क्रेग

12

मैंने हाल ही में CloudFlare Origin CA का उपयोग करते हुए डोमेन एक्सेस करने का प्रयास करते समय एक ही समस्या थी ।

जिस तरह से मैंने क्रोम पर (विंडोज बिल्ड) एचएसटीएस अपवाद अपवाद को हल करने / बचने के लिए पाया, वह छोटे निर्देशों का पालन कर रहा था https://support.opendns.com/entries/66657664 ।

वर्कअराउंड:
Chrome को फ़्लैग शॉर्टकट में जोड़ें --ignore-certificate-errors, फिर उसे खोलें और अपनी वेबसाइट पर सर्फ करें।

अनुस्मारक:
इसका उपयोग केवल विकास उद्देश्यों के लिए करें।

— बिन्यामिन
स्रोत

शायद Google कैनरी में google.com/chrome/browser/canary.html

— Binyamin

मान लीजिए कि आपके पास एक ऐसी साइट नहीं है जो प्रमाणित त्रुटि का कारण बनती है। फिर, यदि आपका समाधान काम करता है तो आप कैसे जांच करेंगे? यहाँ मदद नहीं करता है - stackoverflow.com/questions/41902367/…

— MasterJoe2

मैक संस्करणों के बारे में कैसे?

— जावा गाय

4

मैं देख रहा हूं कि यहां बहुत सारे उपयोगी उत्तर हैं लेकिन फिर भी, मैं वहां से एक उपयोगी और उपयोगी लेख भरता हूं। https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/

मैं एक ही मुद्दे में भाग गया और उस लेख ने मेरी मदद की कि यह वास्तव में क्या है और उस HTH से कैसे निपटना है :-)

— रामकृष्ण
स्रोत

3

इसी तरह की त्रुटि हुई। क्रोम को रीसेट करना: // नेट-इंटर्नल / # hsts ने मेरे लिए काम नहीं किया। मुद्दा यह था कि मेरी vm की घड़ी दिनों के हिसाब से तिरछी थी। समय को रीसेट करने से इस समस्या को हल करने में मदद मिली। https://support.google.com/chrome/answer/4454607?hl=en

— psglinux
स्रोत

2

मैं एक ही त्रुटि का सामना करता हूं, और गुप्त मोड में भी एक ही मुद्दा है। मैं इस मुद्दे को स्पष्ट क्रोम इतिहास द्वारा हल करता हूं।

— wangf
स्रोत

2

मैं इस मुद्दे पर बहुत लंबे समय से पीड़ित हूं। मैं GitHub जैसी वेबसाइट खोलने में असमर्थ था। मैंने लगभग सभी उत्तर वेब पर आजमाए और किसी ने काम नहीं किया। क्रोम को भी फिर से स्थापित करने की कोशिश की। मुझे इसके लिए हमारे नेटवर्क लड़के से समाधान मिला और इसने काम किया। रजिस्ट्री में एक फिक्स है जो स्थायी आधार के लिए इस त्रुटि को हल करेगा।

विंडोज + आर दबाएं खुला रन संवाद बॉक्स की कुंजी
प्रकार: regedit और रजिस्ट्री खोलने के लिए एंटर दबाएं
निम्नलिखित पथ के माध्यम से बाईं ओर ट्री दृश्य में HKEY_LOCAL_MACHINE> सॉफ़्टवेयर> नीति> Microsoft> SystemCertificate> Authroot
अब DisableRootAutoUpdate पर डबल क्लिक करें दाईं ओर पर और इसे डायलॉग बॉक्स में 0 (शून्य) पर सेट करें
रजिस्ट्री परिवर्तन लागू करने के लिए अपने पीसी को पुनरारंभ करें और आपको यह त्रुटि नहीं मिलेगी

उपरोक्त समाधान विंडोज 8 के लिए है। बाद के संस्करणों में यह लगभग समान है लेकिन मैं XP और विस्टा जैसे पुराने संस्करणों के लिए निश्चित नहीं हूं। ताकि जांच की जरूरत पड़े।

— मौलिक मोदी
स्रोत

क्या आप जानते हैं कि इस विकल्प का क्या मतलब है?

— 20

@ testerjoe2: नो सर

— मौलिक मोदी

1

इस google-analytics.com के साथ-साथ विभिन्न अन्य Google डोमेन से पीड़ित था। इस जवाब ने मेरी समस्या हल कर दी।

— शॉन

Support.microsoft.com/en-us/help/2813430/… पर लेख विंडोज विस्टा के लिए एक पैच में पेश किए गए कुंजी के व्यवहार के बारे में बताता है। इस विशेष मान को 0 पर सेट करने से अद्यतन रूट प्रमाणपत्र को स्वचालित रूप से विंडोज अपडेट से प्राप्त किया जा सकता है और ट्रस्टेड रूट प्रमाणन प्राधिकरण स्टोर में स्थापित किया जा सकता है। एक उद्यम वातावरण में, इसे सुरक्षा उपाय के रूप में बंद किया जा सकता है; हालाँकि, इसका मतलब है कि किसी को उद्यम स्तर पर विश्वसनीय रूट प्रमाणन प्राधिकरण का प्रबंधन करना चाहिए।

— जेमीसेई