year site secure not google chrome google-chrome security ssl certificate

google chrome - site - ¿El uso de ''badidea'' o ''thisisunsafe'' para omitir un certificado de Chrome/error HSTS solo se aplica al sitio actual?



not secure chrome (3)

A veces y especialmente muy a menudo cuando se desarrolla una aplicación web, Chrome no le permite visitar ciertos sitios y arrojar un certificado / error HSTS. Descubrí que escribir badidea (más recientemente, esto no es thisisunsafe ) en la ventana de Chrome le indicará a Chrome que omita la validación del certificado.

¿Esta solución solo funciona para un sitio específico, o Chrome ignorará los errores de certificado / HSTS para todos los sitios después de haber usado esta palabra clave?


Esto es específico para cada sitio. Entonces, si escribe eso una vez, solo pasará por ese sitio y todos los demás sitios necesitarán un tipo de escritura similar.

También se recuerda para ese sitio y debe hacer clic en el candado para restablecerlo (para que pueda volver a escribirlo):

No hace falta decir que el uso de esta "característica" es una mala idea y no es seguro, de ahí su nombre.

Debe averiguar por qué el sitio muestra el error y / o dejar de usarlo hasta que lo solucionen. HSTS agrega específicamente protecciones para certificados incorrectos para evitar que haga clic en ellos. El hecho de que sea necesario sugiere que hay algún problema con la conexión https, como que el sitio o su conexión ha sido pirateada.

Los desarrolladores de Chrome también cambian esto periódicamente. Recientemente lo cambiaron de badidea a thisisunsafe por lo que todos los que usaron badidea , de repente dejaron de poder usarlo. No deberías depender de ello. Como Steffen señaló en los comentarios a continuación, está disponible en el código si cambia de nuevo, aunque ahora lo codifican en base64 para hacerlo más oscuro. La última vez que cambiaron pusieron este comentario en el commit :

Rotar la palabra clave de derivación intersticial

La palabra clave de omisión intersticial de seguridad no ha cambiado en dos años y la conciencia de la omisión se ha incrementado en blogs y redes sociales. Gire la palabra clave para ayudar a prevenir el mal uso.

Creo que el mensaje del equipo de Chrome es claro: no debes usarlo. No me sorprendería si lo quitaran por completo en el futuro.

Si está usando esto cuando usa un certificado autofirmado para pruebas locales, ¿por qué no simplemente agrega su certificado autofirmado al almacén de certificados de su computadora para que obtenga un candado verde y no tenga que escribir esto? Tenga en cuenta que Chrome insiste en un campo SAN en los certificados ahora, por lo que si solo usa el campo de subject , incluso agregarlo al almacén de certificados no dará como resultado un candado verde.

Si deja el certificado sin confianza, ciertas cosas no funcionan. El almacenamiento en caché, por ejemplo, se ignora por completo para los certificados no confiables . Como es HTTP / 2 Push .

HTTPS está aquí para quedarse y debemos acostumbrarnos a usarlo correctamente, y no pasar por alto las advertencias con un truco que puede cambiar y no funciona igual que una solución HTTPS completa.


Los errores de SSL a menudo son arrojados por software de administración de red como Cyberroam.

Para responder tu pregunta,

Tendrá que ingresar badidea en Chrome cada vez que visite un sitio web.

Es posible que a veces tenga que ingresarlo más de una vez, ya que el sitio puede tratar de obtener varios recursos antes de la carga, lo que provoca múltiples errores SSL


Soy un desarrollador de PHP y para poder trabajar en mi entorno de desarrollo con un certificado, pude hacer lo mismo al encontrar el certificado SSL HTTPS / HTTP real y eliminarlo.

Los pasos son:

  1. En la barra de direcciones, escriba "chrome: // net-internals / # hsts".
  2. Escriba el nombre de dominio en el campo de texto debajo de "Eliminar dominio".
  3. Haz clic en el botón "Eliminar".
  4. Escriba el nombre de dominio en el campo de texto debajo de "Consultar dominio".
  5. Haga clic en el botón "Consulta".
  6. Su respuesta debe ser "No encontrado".

Puede encontrar más información en: http://classically.me/blogs/how-clear-hsts-settings-major-browsers

Aunque esta solución no es la mejor, Chrome actualmente no tiene ninguna buena solución por el momento. He intensificado esta situación con su equipo de soporte para ayudar a mejorar la experiencia del usuario.

Editar: debe repetir los pasos cada vez que vaya al sitio de producción.