在较新的 Chrome 版本中,访问不受信任的 HTTPS 网站时,会提示如下的提示,并且点击高级按钮也没有继续前往的链接。截图如下:
提供一个简便的方法: 随便点击页面的空白处,然后输入:thisisunsafe
然后页面就可以打开了
不用说,使用此“功能”是一个坏主意,并且不安全-因此得名。
您应该找出网站显示错误的原因,并且/或者在他们解决之前停止使用它。 HSTS特别为不良证书添加了保护措施,以防止您单击它们。 需要它的事实表明https连接有问题-就像网站或您与它的连接已被黑客入侵一样。
chrome开发人员也会定期更改此设置。 他们最近将其从badidea更改为thisisunsafe,以便每个使用SAN的人突然停止使用它。 您不应该依赖它。 正如Steffen在下面的注释中指出的那样,如果现在再次对其进行更改,则可以在代码中使用它,尽管他们现在对base64进行了编码以使其更加晦涩。 他们最后一次更改时,他们在提交中添加了以下注释:
旋转插页式旁路关键字
安全插页广告旁路关键字两年来没有变化 博客和社交网站对绕行的意识有所提高 媒体。 旋转关键字以帮助防止滥用。
我认为Chrome小组的信息很明确-您不应该使用它。 如果他们将来完全删除它,这不会令我感到惊讶。
如果在将自签名证书用于本地测试时正在使用此证书,那么为什么不将自签名证书添加到计算机的证书存储区中,这样您将获得绿色的挂锁,而不必键入此密码? 注意Chrome现在坚持在证书中保留SAN字段,因此,即使仅使用旧的subject字段,即使将其添加到证书存储中也不会导致绿色挂锁。
如果您不信任证书,则某些操作将无效。 例如,对于不受信任的证书,缓存将被完全忽略。 就像HTTP / 2推送一样。
HTTPS仍然存在,我们需要习惯于正确使用它-而不是使用易于更改且与完整HTTPS解决方案不同的hack绕过警告。