Advertencia de SSL de Chrome: “No puede continuar porque el operador del sitio web ha solicitado una mayor seguridad para este dominio. ”

3 respuestas

44

Pruebe este truco de Chrome: cuando el navegador muestre la página con el mensaje de certificado no válido, escriba en su teclado la palabra "proceder" y luego presione Intro.

Debería poder pasar a la página solicitada.

En las versiones más recientes de Chrome, es posible que tengas que escribir "peligro" y presionar Enter en su lugar.

    
respondido por el Duilio Protti 03.02.2013 - 19:14
fuente
29

Esta es una función llamada Seguridad de transporte estricta de HTTP: consulte enlace y enlace .

No se puede acceder a los sitios que envían el encabezado Strict-Transport-Security (o están precargados en Chrome, como apis.google.com) cuando el certificado SSL del servidor no es válido.

El certificado enviado para chart.apis.google.com es válido para * .google.com, pero como el comodín solo coincide con un solo subdominio, chart.apis no es válido.

Si apis.google.com no estuviera incluido en la lista de STS, Chrome también mostraría un botón para ignorar el error y continuar.

-

(La url de HTTPS correcta para Google Chart API es enlace )

    
respondido por el Joel L 27.12.2012 - 16:38
fuente
3

Este mensaje de error desencadenado por una característica de la web llamada "Seguridad de transporte HTTP estricta" que permite a los operadores de sitios web informar a los navegadores que solo deben contactar su sitio mediante una conexión HTTPS segura Esta función se especifica en RFC 6797 . En particular, es posible que desee leer sección 12.1 , que dice:

  

Sin recurso de usuario

     

El fallo en el establecimiento de la conexión segura en cualquier advertencia o error (según la Sección 8.4 ("Errores en el establecimiento de transporte seguro")) debe hacerse sin "recurso del usuario". Esto significa que al usuario no se le debe presentar un cuadro de diálogo que le dé la opción de continuar. Más bien, debe tratarse de manera similar a un error del servidor donde no hay nada más que el usuario pueda hacer con respecto a la interacción con la aplicación web de destino, aparte de esperar y volver a intentarlo.

     

Esencialmente, "cualquier advertencia o error" significa cualquier cosa que haga que la implementación de UA anuncie al usuario que algo no es del todo correcto con el establecimiento de la conexión.

     

No hacer esto, es decir, permitir el recurso del usuario, como "hacer clic en los diálogos de advertencia / error", es una receta para un ataque de hombre en el medio. Si una aplicación web emite una Política HSTS, entonces está optando implícitamente por el enfoque de "no recurso de usuario", por lo que todos los errores o advertencias de certificados causan una terminación de la conexión, sin posibilidad de "engañar" a los usuarios para que tomen una decisión incorrecta y se comprometan. .

Por lo tanto, si usted es un usuario del sitio web que ve este mensaje de error, debe esperar ; no hay nada que puedas hacer al respecto, aparte de informar el problema al propietario del sitio web y esperar a que lo solucionen.

Sin embargo, vale la pena señalar que Chrome no es completamente compatible con esta política, ya que tiene una manera de evitar el mensaje de error ingresando una cierta cadena de caracteres en su teclado cuando ver el mensaje Esta función está diseñada deliberadamente para que no sea oscura y así evitar que los usuarios que no entienden completamente lo que están haciendo dañen su propia seguridad solo para deshacerse del error, y por respeto a ese objetivo, no publicaré la cadena aquí. y animo a otros a evitar hacerlo también. Esta página ocupa un lugar destacado en Google para la consulta "No se puede continuar porque el operador del sitio web ha solicitado una mayor seguridad para este dominio", por lo que los usuarios no informados que buscan el mensaje de error probablemente terminen aquí.

Si eres un desarrollador o experto en seguridad y comprendes completamente las implicaciones de omitir esta advertencia, puedes encontrar la cadena de omisión actual (codificada en base64 para mayor oscuridad) en el código fuente de Chrome en el archivo components/security_interstitials/core/browser/resources/interstitial_large.js . Si escribe la cadena (decodificada) que encuentra allí en Chrome cuando ve una página de error de seguridad TLS, omitirá esa página y obligará a Chrome a cargar el sitio. (Puede probar esto en enlace .) Utilice esta información de manera responsable.

Además, ya que usted preguntó, también debería tener en cuenta que nada de esto tiene nada que ver con los certificados comodín. Los certificados comodín solo coinciden con un solo nivel de subdominio, y esto no es específico de Chrome. Consulte RFC 6125, sección 6.4.3 para obtener detalles sobre eso.

    
respondido por el Ajedi32 29.08.2018 - 19:20
fuente

Lea otras preguntas en las etiquetas