Este mensaje de error desencadenado por una característica de la web llamada "Seguridad de transporte HTTP estricta" que permite a los operadores de sitios web informar a los navegadores que solo deben contactar su sitio mediante una conexión HTTPS segura Esta función se especifica en RFC 6797 . En particular, es posible que desee leer sección 12.1 , que dice:
Sin recurso de usuario
El fallo en el establecimiento de la conexión segura en cualquier advertencia o error (según la Sección 8.4 ("Errores en el establecimiento de transporte seguro")) debe hacerse sin "recurso del usuario". Esto significa que al usuario no se le debe presentar un cuadro de diálogo que le dé la opción de continuar. Más bien, debe tratarse de manera similar a un error del servidor donde no hay nada más que el usuario pueda hacer con respecto a la interacción con la aplicación web de destino, aparte de esperar y volver a intentarlo.
Esencialmente, "cualquier advertencia o error" significa cualquier cosa que haga que la implementación de UA anuncie al usuario que algo no es del todo correcto con el establecimiento de la conexión.
No hacer esto, es decir, permitir el recurso del usuario, como "hacer clic en los diálogos de advertencia / error", es una receta para un ataque de hombre en el medio. Si una aplicación web emite una Política HSTS, entonces está optando implícitamente por el enfoque de "no recurso de usuario", por lo que todos los errores o advertencias de certificados causan una terminación de la conexión, sin posibilidad de "engañar" a los usuarios para que tomen una decisión incorrecta y se comprometan. .
Por lo tanto, si usted es un usuario del sitio web que ve este mensaje de error, debe esperar ; no hay nada que puedas hacer al respecto, aparte de informar el problema al propietario del sitio web y esperar a que lo solucionen.
Sin embargo, vale la pena señalar que Chrome no es completamente compatible con esta política, ya que tiene una manera de evitar el mensaje de error ingresando una cierta cadena de caracteres en su teclado cuando ver el mensaje Esta función está diseñada deliberadamente para que no sea oscura y así evitar que los usuarios que no entienden completamente lo que están haciendo dañen su propia seguridad solo para deshacerse del error, y por respeto a ese objetivo, no publicaré la cadena aquí. y animo a otros a evitar hacerlo también. Esta página ocupa un lugar destacado en Google para la consulta "No se puede continuar porque el operador del sitio web ha solicitado una mayor seguridad para este dominio", por lo que los usuarios no informados que buscan el mensaje de error probablemente terminen aquí.
Si eres un desarrollador o experto en seguridad y comprendes completamente las implicaciones de omitir esta advertencia, puedes encontrar la cadena de omisión actual (codificada en base64 para mayor oscuridad) en el código fuente de Chrome en el archivo components/security_interstitials/core/browser/resources/interstitial_large.js
. Si escribe la cadena (decodificada) que encuentra allí en Chrome cuando ve una página de error de seguridad TLS, omitirá esa página y obligará a Chrome a cargar el sitio. (Puede probar esto en enlace .) Utilice esta información de manera responsable.
Además, ya que usted preguntó, también debería tener en cuenta que nada de esto tiene nada que ver con los certificados comodín. Los certificados comodín solo coinciden con un solo nivel de subdominio, y esto no es específico de Chrome. Consulte RFC 6125, sección 6.4.3 para obtener detalles sobre eso.