Chrome: le site Web utilise HSTS. Erreurs de réseau… cette page fonctionnera probablement plus tard

Je développe contre localhost. Ce matin, juste après avoir utilisé Fiddler, j'ai commencé à avoir cette erreur sur Chrome (fonctionne correctement dans Firefox)

"Vous ne pouvez pas visiter localhost pour le moment car le site Web utilise HSTS. Les erreurs et les attaques de réseau sont généralement temporaires, donc cette page fonctionnera probablement plus tard."

Désormais, localhost ne fonctionne dans Chrome que si Fiddler est en cours d'exécution. Je me suis déjà assuré que les redirections de proxy créées par Fiddler sont corrigées lorsque Fiddler s'arrête.

J'ai également essayé d'importer le certificat sur ma racine de confiance et de redémarrer le navigateur (ainsi que la machine).

Un moyen très rapide de contourner ce problème est, lorsque vous affichez l'écran "Votre connexion n'est pas privée":

type badidea

type thisisunsafe(merci à The Java Guy d' avoir trouvé la nouvelle phrase secrète)

Cela permettra l'exception de sécurité lorsque Chrome n'autorise pas la définition de l'exception via un clic, par exemple pour ce cas HSTS.

Ceci n'est évidemment recommandé que pour les connexions locales et les machines virtuelles de réseau local, bien sûr, mais cela présente l'avantage de fonctionner pour les VM utilisées pour le développement (par exemple sur les connexions locales transférées par port) et pas seulement pour les connexions locales directes.

Remarque: les développeurs Chrome ont modifié cette phrase secrète dans le passé et peuvent le faire à nouveau. Si badideacesse de fonctionner, veuillez laisser une note ici si vous apprenez la nouvelle phrase secrète. J'essaierai de faire de même.

Edit: depuis le 30 janvier 2018, cette phrase secrète semble ne plus fonctionner.

Si je peux en trouver un nouveau, je le posterai ici. En attendant, je vais prendre le temps de configurer un certificat auto-signé en utilisant la méthode décrite dans cet article de stackoverflow:

Comment créer un certificat auto-signé avec openssl?

Edit: à partir du 1er mars 2018 et de la version 64.0.3282.186 de Chrome, cette phrase de passe fonctionne à nouveau pour les blocs liés à HSTS sur les sites .dev.

Edit: à partir du 9 mars 2018 et de la version 65.0.3325.146 de Chrome, la badideaphrase de passe ne fonctionne plus.

Edit 2: le problème avec les certificats auto-signés semble être que, avec le resserrement des normes de sécurité à tous les niveaux ces jours-ci, ils provoquent leurs propres erreurs (nginx, par exemple, refuse de charger un certificat SSL / TLS qui comprend un cert auto-signé dans la chaîne d'autorité, par défaut).

La solution que j'utilise maintenant est d'échanger le domaine de premier niveau sur tous mes sites de développement .app et .dev avec .test ou .localhost. Chrome et Safari n'accepteront plus les connexions non sécurisées aux domaines de premier niveau standard (y compris .app).

La liste actuelle des domaines de premier niveau standard se trouve dans cet article de Wikipédia, y compris les domaines à usage spécial:

Wikipédia: Liste des domaines Internet de premier niveau: Domaines à usage spécial

Ces domaines de premier niveau semblent être exemptés des nouvelles restrictions https uniquement:

• .local
• .localhost
• .tester
• (tout domaine de premier niveau personnalisé / non standard)

Voir la réponse et le lien de codinghands à la question d'origine pour plus d'informations:

réponse de codinghands

Lorsque vous avez visité https: // localhost précédemment, à un moment donné, non seulement il l'a visité sur un canal sécurisé (https plutôt que http), il l'a également indiqué à votre navigateur, en utilisant un en-tête HTTP spécial: Strict-Transport-Security (souvent abrégé en HSTS ), qu'il doit utiliser UNIQUEMENT https pour toutes les visites futures.

Il s'agit d'une fonction de sécurité que les serveurs Web peuvent utiliser pour empêcher les personnes d'être rétrogradées vers http (intentionnellement ou par une partie perverse).

Cependant, si vous désactivez ensuite votre serveur https et que vous souhaitez simplement parcourir http, vous ne pouvez pas (par conception - c'est le but de cette fonction de sécurité).

HSTS vous empêche également d'accepter et d'ignorer les erreurs de certificat passées.

Pour réinitialiser cela, afin que HSTS ne soit plus défini pour localhost, saisissez ce qui suit dans votre barre d'adresse Chrome:

chrome://net-internals/#hsts

Où vous pourrez supprimer ce paramètre pour "localhost".

Vous voudrez peut-être également savoir ce qui a été paramétré pour éviter ce problème à l'avenir!

Notez que pour les autres sites (par exemple www.google.com), ceux-ci sont "préchargés" dans le code Chrome et ne peuvent donc pas être supprimés. Lorsque vous les interrogez sur chrome: // net-internals / # hsts, vous les verrez répertoriés comme staticentrées HSTS.

Et notez enfin que Google a commencé à précharger le HSTS pour tout le domaine .dev: https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

Cliquez n'importe où dans la fenêtre chrome et tapez thisisunsafe(au lieu de badideaprécédemment) dans chrome.

Cette phrase secrète peut changer à l'avenir. C'est la source

https://chromium.googlesource.com/chromium/src/+/master/components/security_interstitials/core/browser/resources/interstitial_large.js#19

Selon cette ligne, saisissez window.atob('dGhpc2lzdW5zYWZl')la console de votre navigateur et il vous donnera la phrase de passe réelle.

Cette fois, la phrase secrète est thisisunsafe.

J'ai eu ce problème avec les sites fonctionnant sur XAMPP avec des noms d'hôtes privés. Pas si privé, il s'avère! Ils étaient tous domain.dev, que Google a maintenant enregistrés en tant que gTLD privé , et impose le HSTS au niveau du domaine. Changement de chaque hôte virtuel en .devel(eugh), redémarrage d'Apache et tout va bien maintenant.

J'ai eu récemment la même question tout en essayant de domaines d'accès en utilisant CloudFlare Origin CA .

Le seul moyen que j'ai trouvé pour contourner / éviter l'exception de certificat HSTS sur Chrome (version Windows) était de suivre les brèves instructions dans https://support.opendns.com/entries/66657664 .

Solution de contournement:
ajoutez un raccourci Chrome à l'indicateur --ignore-certificate-errors, puis rouvrez-le et surfez sur votre site Web.

Rappel:
utilisez-le uniquement à des fins de développement.

Je vois qu'il y a tellement de réponses utiles ici, mais quand même, je tombe sur un article pratique et utile là-bas. https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/

J'ai rencontré le même problème et cet article m'a aidé à savoir ce que c'est exactement et comment gérer ce HTH :-)

Une erreur similaire a été rencontrée. la réinitialisation de chrome: // net-internals / # hsts n'a pas fonctionné pour moi. Le problème était que l'horloge de ma vm était biaisée par jours. la réinitialisation du temps a fonctionné pour résoudre ce problème. https://support.google.com/chrome/answer/4454607?hl=en

Je rencontre la même erreur et le mode navigation privée a également le même problème. Je résous ce problème en effaçant l'historique de Chrome.

Je souffre de ce problème depuis très longtemps. Je n'ai pas pu ouvrir de sites Web comme GitHub. J'ai presque essayé toutes les réponses sur le Web et personne n'a travaillé. J'ai essayé de réinstaller Chrome également. J'ai trouvé la solution pour cela de notre gars du réseau et cela a fonctionné. Il existe un correctif dans le registre qui résoudra cette erreur de manière permanente.

1. Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter
2. tapez: regedit et appuyez sur Entrée pour ouvrir le registre
3. Dans l'arborescence de gauche, cliquez sur le chemin suivant HKEY_LOCAL_MACHINE> SOFTWARE> POLICIES> Microsoft> SystemCertificate> Authroot
4. Maintenant, double-cliquez sur DisableRootAutoUpdate à droite et réglez-le sur 0 (zéro) dans la boîte de dialogue qui apparaît
5. Redémarrez votre PC pour appliquer les modifications du registre et vous n'obtiendrez plus cette erreur

La solution ci-dessus est pour Windows 8. Elle est presque identique dans les versions ultérieures mais je ne suis pas sûr pour les versions antérieures comme XP et Vista. Cela doit donc être vérifié.