从10分钟开始,chrome强制在我网站的子域中使用SSL证书。
我的网站:https://www.mywebsite.com - > SSL OK INSTALLED
子域名:http://forum.mywebsite.com - > SSL未安装
现在“chrome”迫使我的论坛进入SSL,也许是因为总是访问强制SSL的主站点,但它没有意义。在IE,Firefox和其他版本的Chrome上没有任何反应,仅在这台带有Chrome的PC上。
我没有安装扩展程序,也没有强制安全连接的防病毒软件,例如卡巴斯基。
这取自Log:chrome:// net-internals /#events
17239: URL_REQUEST
http://forum.mywebsite.com/
Start Time: 10/24/2014 22: 14: 16,596
t = -633,892 [st = 0] + REQUEST_ALIVE [dt =?]
-> Has_upload = false
-> Is_pending = true
-> Load_flags = 3384432 (BYPASS_DATA_REDUCTION_PROXY | main_frame | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
-> Load_state = 0 (IDLE)
-> Method = "GET"
-> Status = "SUCCESS"
-> Url = "http://forum.mywebsite.com/"
-> Url_chain = ["http://forum.mywebsite.com/","https://forum.mywebsite.com/"]
答案 0 :(得分:6)
在来自HTTPS站点的HTTP响应中,在标题中查找HSTS。
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
这会做你所描述的;它可以强制父域和所有子域始终为HTTPS。
编辑:这里有更多细节,感兴趣的人。
通常,您有一位用户通过HTTP访问您的网站。如果您希望保护其连接,则可以将它们重定向到同一页面,但使用HTTPS。问题是重定向发生在网络上,在HTTP中,这是不安全的。中间人攻击可以阻止升级,并使用户陷入HTTP;更糟糕的是,他们可能没有意识到他们会受到攻击。您可以仅使用HTTPS提供您的网站,但是在HTTP中尝试使用您网站的用户会认为您的网站已关闭,而且这也很糟糕。
所以HSTS(HTTP Strict-Transport-Security)就是那里的解决方案。它得到了大多数现代浏览器的支持(Chrome / Firefox,我认为Safari和IE12都会拥有它。)老浏览器会忽略它。
每个域应用HSTS。一旦HSTS对yoursitehere.com有效,如果用户在浏览器中键入http://yoursitehere.com,则浏览器会执行不同的操作;而不是使用HTTP联系yoursitehere.com,它会在点击网络之前将查询重写为HTTPS 。这减轻了中间人的攻击。</ p>
有两种方法可以打开HSTS。一种是使用HTTP响应标头,必须通过HTTPS提供。另一种是通过联系浏览器公司(Google,Apple,Mozilla,Microsoft),要求将其添加到&#34; HSTS预加载列表&#34;,这是浏览器附带的配置文件。 如果使用响应标题启用此功能,则还有一个附加选项;这应该打开多少秒? 使用任何一种触发方法,都有一个主要选择。 &#34; includeSubDomains&#34;,被问及。如果设置了includeSubDomains,而不是仅包括yoursitehere.com ...它还包括www.yoursitehere.com,mail.yoursitehere.com,static.yoursitehere.com等。 如果不先测试一下,这是一件危险的事情。 将网站移至HTTPS可能会突出显示混合内容错误;有些浏览器将这些放在控制台中,有些浏览器弹出它们,但它是使用HTTP资源的HTTPS页面。如果您的网站一直支持HTTPS,则这不是问题。 同样,这也很危险,因为它是按域的,而不是按路径的。 因此,如果yoursitehere.com/your-application想要HSTS,但是yoursitehere.com/another-teams-application没有,那么如果一个产品/服务器全部映射到同一个域下,则可以强制所有人使用它。
答案 1 :(得分:0)
也许服务器正在向此特定浏览器发送重定向,因为它标识自己。
如果您打开开发人员检查程序并运行查询,您从初始请求收到的返回代码是什么?