Chrome: o site usa HSTS. Erros de rede… esta página provavelmente funcionará mais tarde

Estou desenvolvendo contra localhost. Esta manhã, logo após usar o violinista, comecei a receber esse erro no chrome (funciona corretamente no firefox)

"Você não pode visitar o localhost agora porque o site usa HSTS. Os erros e ataques de rede geralmente são temporários, portanto esta página provavelmente funcionará mais tarde."

Agora o localhost funciona no chrome apenas se o violinista estiver em execução. Eu já verifiquei se os redirecionamentos de proxy que o violinista faz são corrigidos quando o violinista é desligado.

Também tentei importar o certificado para minha raiz confiável e reiniciar o navegador (e também a máquina).

Uma maneira rápida de contornar isso é quando você está visualizando a tela "Sua conexão não é privada":

tipo badidea

tipo thisisunsafe(crédito para The Java Guy por encontrar a nova senha)

Isso permitirá a exceção de segurança quando o Chrome não permitir que a exceção seja definida por meio de cliques, por exemplo, para este caso HSTS.

Isso é recomendado apenas para conexões locais e máquinas virtuais de rede local, obviamente, mas tem a vantagem de trabalhar para VMs que estão sendo usadas para desenvolvimento (por exemplo, em conexões locais encaminhadas por porta) e não apenas para conexões diretas de host local.

Nota: os desenvolvedores do Chrome alteraram essa senha no passado e podem fazê-lo novamente. Se badideaparar de funcionar, deixe uma nota aqui se você souber a nova senha. Vou tentar fazer o mesmo.

Editar: a partir de 30 de janeiro de 2018, esta senha parece não funcionar mais.

Se eu puder caçar um novo, eu o colocarei aqui. Enquanto isso, vou dedicar um tempo para configurar um certificado autoassinado usando o método descrito nesta postagem do stackoverflow:

Como criar um certificado autoassinado com o openssl?

Editar: a partir de 1 de março de 2018 e na versão 64.0.3282.186 do Chrome, essa senha funciona novamente para blocos relacionados ao HSTS em sites .dev.

Editar: a partir de 9 de março de 2018 e a versão 65.0.3325.146 do Chrome, a badideasenha não funciona mais.

Edit 2: o problema com certificados autoassinados parece ser que, com os padrões de segurança mais rígidos atualmente, eles causam seus próprios erros (o nginx, por exemplo, se recusa a carregar um certificado SSL / TLS que inclui um certificado autoassinado na cadeia de autoridade, por padrão).

A solução que vou usar agora é trocar o domínio de nível superior em todos os meus sites de desenvolvimento .app e .dev por .test ou .localhost. O Chrome e o Safari não aceitarão mais conexões inseguras com domínios de nível superior padrão (incluindo .app).

A lista atual de domínios de nível superior padrão pode ser encontrada neste artigo da Wikipedia, incluindo domínios de uso especial:

Wikipedia: Lista de domínios de nível superior na Internet: domínios de uso especial

Esses domínios de nível superior parecem estar isentos das novas restrições somente https:

• .local
• .localhost
• .teste
• (qualquer domínio de nível superior personalizado / não padrão)

Consulte a resposta e o link de mãos codificadas para a pergunta original para obter mais informações:

resposta de codinghands

Quando você visitou https: // localhost anteriormente, em algum momento, não apenas o visitou por um canal seguro (https em vez de http), mas também informou ao navegador, usando um cabeçalho HTTP especial: Strict-Transport-Security (geralmente abreviado para HSTS ), que APENAS deve usar https para todas as visitas futuras.

Esse é um recurso de segurança que os servidores da Web podem usar para impedir que as pessoas sejam desatualizadas para http (intencionalmente ou por parte de um mal).

No entanto, se você desligar o servidor https e quiser navegar pelo http, não é possível (por padrão - esse é o objetivo desse recurso de segurança).

O HSTS também impede que você aceite e pule erros de certificado anteriores.

Para redefinir isso, para que o HSTS não seja mais definido como host local, digite o seguinte na barra de endereços do Chrome:

chrome://net-internals/#hsts

Onde você poderá excluir esta configuração para "localhost".

Você também pode descobrir o que estava definindo isso para evitar esse problema no futuro!

Observe que, para outros sites (por exemplo, www.google.com), eles são "pré-carregados" no código do Chrome e, portanto, não podem ser removidos. Ao consultá-los em chrome: // net-internals / # hsts, você os verá listados como staticentradas HSTS.

Por fim, observe que o Google começou a pré-carregar o HSTS para todo o domínio .dev: https://ma.ttias.be/chrome-force-dev-domains-https-via-preloaded-hsts/

Clique em qualquer lugar na janela do chrome e digite thisisunsafe(em vez de badideaanteriormente) no chrome.

Essa senha pode mudar no futuro. Esta é a fonte

https://chromium.googlesource.com/chromium/src/+/master/components/security_interstitials/core/browser/resources/interstitial_large.js#19

De acordo com essa linha, digite window.atob('dGhpc2lzdW5zYWZl')no console do navegador e ele fornecerá a frase secreta real.

Desta vez, a senha é thisisunsafe.

Eu tive esse problema com sites em execução no XAMPP com nomes de host privados. Não é tão particular, ao que parece! Eles eram todos domain.dev, que o Google agora registrou como um gTLD privado e está forçando o HSTS no nível do domínio. Mudou todo host virtual para .devel(eugh), reiniciou o Apache e agora está tudo bem.

Recentemente, tive o mesmo problema ao tentar domínios de acesso usando CloudFlare Origem CA .

A única maneira de encontrar uma solução alternativa / evitar a exceção do certificado HSTS no Chrome (compilação do Windows) foi seguir as breves instruções em https://support.opendns.com/entries/66657664 .

A solução alternativa:
adicione ao sinalizador o atalho do Chrome --ignore-certificate-errors, reabra-o e navegue no seu site.

Lembrete:
use-o apenas para fins de desenvolvimento.

Vejo que há muitas respostas úteis aqui, mas ainda assim, me deparo com um artigo útil e útil por aí. https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/

Encontrei o mesmo problema e esse artigo me ajudou a saber exatamente o que é e como lidar com esse HTH :-)

Foi encontrado um erro semelhante. redefinir chrome: // net-internals / # hsts não funcionou para mim. A questão era que o relógio da minha vm estava distorcido por dias. redefinir o tempo funcionou para resolver esse problema. https://support.google.com/chrome/answer/4454607?hl=en

Encontro o mesmo erro e o modo de navegação anônima também tem o mesmo problema. Eu resolvo esse problema limpando o histórico do Chrome.

Eu sofro desse problema há muito tempo. Não consegui abrir sites como o GitHub. Eu quase tentei todas as respostas na web e ninguém trabalhou. Tentei reinstalar o chrome também. Eu encontrei a solução para isso do nosso cara de rede e funcionou. Há uma correção no registro que resolverá esse erro permanentemente.

1. Pressione a tecla Windows + R para abrir a caixa de diálogo Executar
2. digite: regedit e pressione enter para abrir o registro
3. Na visualização em árvore à esquerda, clique no seguinte caminho HKEY_LOCAL_MACHINE> SOFTWARE> POLICIES> Microsoft> SystemCertificate> Authroot
4. Agora clique duas vezes em DisableRootAutoUpdate à direita e defina-o como 0 (zero) na caixa de diálogo que aparece
5. Reinicie o seu PC para aplicar alterações no registro e você não receberá mais este erro

A solução acima é para o Windows 8. É quase idêntica em versões posteriores, mas não tenho certeza para versões anteriores como XP e Vista. Então, isso precisa ser verificado.