Le domaine Google .dev redirige étrangement vers https

J'ai acheté un domaine .dev aujourd'hui @ domaines.google. J'ai également mis en place un serveur web nginx dédié vers lequel pointe le domaine .dev (enregistrements A).

Très étrangement, je ne peux pas accéder à ma page d'accueil nginx en utilisant mon example.devdomaine, car pour une raison étrange, je suis redirigé vers https://example.devlequel échoue (aucune connexion à mon serveur Web http ne peut être établie). Cependant, tout autre domaine pointant vers ce nouveau serveur fonctionne correctement. Comme example.comça marche juste. Je n'ai rien configuré sur nginx, je l'ai juste installé (la configuration de démonstration fait le travail). De toute évidence, cela a quelque chose à voir avec Google en tant que registraire. OK - je vais donc contacter le support Google, non? Oui. J'ai fait cela, cependant, ils m'ont dit que c'était quelque chose que je devais gérer de mon côté et faisant toujours référence à `` contacter votre hébergeur '' (ce qui n'est pas trop un conseil puisque je suis l'hôte).

J'ai tout essayé dans la console Google, mais je n'arrive pas à le faire fonctionner. Le support de Google a été très, très décevant et j'espère maintenant voir des résolutions sur ce problème.

.devles domaines sont HTTPS uniquement. Ce n'est pas une redirection. Il s'agit de la précharge HSTS.

HSTS est une technologie qui permet aux domaines de déclarer qu'ils sont HTTPS uniquement. Il est destiné à atténuer les attaques de déclassement de protocole. La première fois que vous visitez un site qui souhaite utiliser HSTS, vous obtenez un en-tête qui vous empêche de visiter ce domaine sur HTTP.

La liste de préchargement HSTS est intégrée aux navigateurs Web afin que le navigateur sache qu'un site est HTTPS uniquement, avant même la première visite. Si un site figure sur la liste de préchargement HSTS, il ne sera jamais accessible via HTTP dans ce navigateur, uniquement via HTTPS.

Google a mis l'intégralité du .devdomaine de premier niveau sur la liste de préchargement HSTS . Cela signifie qu'aucun .devdomaine ne pourra jamais s'exécuter en tant que site HTTP.

Lorsque vous avez enregistré votre .devdomaine, le registre Google vous l'a indiqué en première page dans la section "Avantages de la sécurité":

Obtenez une sécurité intégrée

Votre sécurité est notre priorité. Le domaine de premier niveau .dev est inclus dans la liste de préchargement HSTS, rendant HTTPS requis sur toutes les connexions aux sites Web et pages .dev sans avoir besoin d'un enregistrement ou d'une configuration HSTS individuelle. La sécurité est intégrée.

Actuellement, seuls Firefox et Chrome prennent en charge cette précharge HSTS. Si vous souhaitez pouvoir tester votre site avant d'avoir configuré HTTPS, vous pouvez utiliser un autre navigateur. Vous pouvez également être en mesure de modifier les paramètres de votre navigateur pour désactiver HSTS .

En raison de la précharge HSTS, vous devrez exécuter votre .devdomaine sur un serveur HTTPS afin que les utilisateurs puissent y accéder.