当您使用“badidea”或“thisisunsafe”绕过 Chrome 证书/HSTS 错误时，它是不是仅适用于当前站点？ [关闭]

Posted 2023-02-22

【中文标题】当您使用“badidea”或“thisisunsafe”绕过 Chrome 证书/HSTS 错误时，它是不是仅适用于当前站点？ [关闭]

【英文标题】：When you use 'badidea' or 'thisisunsafe' to bypass a Chrome certificate/HSTS error, does it only apply for the current site? [closed]当您使用“badidea”或“thisisunsafe”绕过 Chrome 证书/HSTS 错误时，它是否仅适用于当前站点？ [关闭]

【发布时间】：2016-05-18 09:52:49

【问题描述】：

在开发 Web 应用程序时，Chrome 有时（尤其是经常）不允许您访问某些网站并引发证书/HSTS 错误。我发现在 Chrome 窗口中输入 badidea（最近是 thisisunsafe）会告诉 Chrome 跳过证书验证。

此解决方案是否仅适用于特定网站，还是 Chrome 会在我使用此关键字后忽略所有网站的证书/HSTS 错误？

【参考方案1】：

这是针对每个网站的。因此，如果您键入一次，您将只能通过该站点，而所有其他站点都需要类似的键入。

该站点也会记住它，您必须单击挂锁来重置它（以便您可以再次输入）：

不用说使用这个“功能”是个坏主意而且不安全——因此得名。

您应该找出网站显示错误的原因和/或停止使用它，直到他们修复它。 HSTS 专门添加了对不良证书的保护，以防止您点击它们。需要它的事实表明 https 连接存在问题 - 例如该站点或您与它的连接已被黑客入侵。

chrome 开发人员也会定期更改此设置。他们最近将其从badidea 更改为thisisunsafe，所以使用badidea 的每个人都突然无法使用它。你不应该依赖它。正如 Steffen 在下面的 cmets 中指出的那样，it is available in the code 是否应该再次更改，尽管他们现在对其进行 base64 编码以使其更加模糊。他们上次更改时输入了this comment in the commit：

旋转插页式绕过关键字

安全插页式绕过关键字在两年内未更改 并且在博客和社交媒体中提高了对绕过的意识 媒体。轮换关键字有助于防止误用。

我认为 Chrome 团队的信息很明确 - 您不应该使用它。如果他们将来完全删除它，我不会感到惊讶。

如果您在使用自签名证书进行本地测试时使用它，那么为什么不将您的自签名证书证书添加到计算机的证书存储中，这样您就可以得到一个绿色挂锁，而不必输入这个？注意 Chrome 现在坚持在证书中使用 SAN 字段，因此如果仅使用旧的 subject 字段，那么即使将其添加到证书存储也不会导致绿色挂锁。

如果您让证书不受信任，那么某些事情将不起作用。 Caching for example is completely ignored for untrusted certificates。和HTTP/2 Push一样。

HTTPS 将继续存在，我们需要习惯于正确使用它 - 而不是通过可能会更改且与完整 HTTPS 解决方案不同的黑客来绕过警告。

【讨论】：

谢谢@BazzaDP，但这不仅适用于特定会话。我正在使用自签名证书，这在信任方面很好。

看the way it is implemented，你是对的。

@FranklinYu 它一直存在，但如果您想恢复警告，您可以点击挂锁，然后点击“重新启用此站点的警告”。

如果他们如此关心安全性，为什么单击挂锁时没有显示任何关于正在使用的证书链的信息？

因为除了专家之外没有人看过它——他们可以从“安全”选项卡下的开发人员工具中获得它。就我个人而言，我认为当他们在那里放太多信息时会更糟（security.stackexchange.com/questions/52834/…）。但是，是的，我同意你的观点，很高兴能够看到那些想要并且很高兴他们把它带回来的人的完整证书 - 也许你没有注意到它，但现在如果你点击“证书（有效）”措辞你可以看到他们通常的系统对话框包括链。

【参考方案2】：

我是一名 php 开发人员，为了能够使用证书在我的开发环境中工作，我能够通过找到真正的 SSL HTTPS/HTTP 证书并将其删除来做到这一点。

步骤如下：

在地址栏中，键入“chrome://net-internals/#hsts”。 键入域 “删除域”下方文本字段中的名称。 点击“删除”按钮。 在“查询域”下方的文本字段中输入域名。 点击“查询”按钮。 您的回复应为“未找到”。

您可以在以下位置找到更多信息： http://classically.me/blogs/how-clear-hsts-settings-major-browsers

虽然这个解决方案不是最好的，但Chrome目前暂时没有什么好的解决方案。我已与他们的支持团队上报了这种情况，以帮助改善用户体验。

编辑：每次进入生产站点时，您都​​必须重复这些步骤。

【参考方案3】：

SSL 错误通常由 Cyber​​roam 等网络管理软件引发。

回答你的问题，

您将在每次访问网站时都必须在 Chrome 中输入 badidea。

您有时可能需要多次输入，因为网站可能会在加载前尝试提取各种资源，从而导致多个 SSL 错误

【讨论】：

如果不起作用，请参阅here 和here

您只需为您访问的每个新域/子域输入此内容，一旦您信任证书（即使无效）Chrome 会为您记住。

请注意，正如现在在问题本身中提到的，密码已再次更改。从 Chrome 65 开始，它是 thisisunsafe。

@user2026318 您只需在证书颁发页面上输入即可

@user2026318 没有“地方”可以输入。您只需要“在广播中”键入它。