Google chrome Chrome错误-强制始终SSL_Google Chrome

Google chrome Chrome错误-强制始终SSL

google-chrome

Google chrome Chrome错误-强制始终SSL,google-chrome,Google Chrome,从10分钟开始，chrome强制在我的网站的子域中使用SSL证书我的网站：https://www.mywebsite.com->SSL-OK-INSTALLED 子域：->未安装SSL 现在“chrome”强迫我的论坛使用SSL，也许是因为总是访问强制使用SSL的主站点，但这没有意义。在IE、Firefox和其他版本的Chrome上，什么都不会发生，只有在这台装有Chrome的电脑上我没有安装扩展，也没有像卡巴斯基这样的强制安全连接的防病毒软件这来自一个日志：chrome://netint

从10分钟开始，chrome强制在我的网站的子域中使用SSL证书

我的网站：https://www.mywebsite.com->SSL-OK-INSTALLED

子域：->未安装SSL

现在“chrome”强迫我的论坛使用SSL，也许是因为总是访问强制使用SSL的主站点，但这没有意义。在IE、Firefox和其他版本的Chrome上，什么都不会发生，只有在这台装有Chrome的电脑上

我没有安装扩展，也没有像卡巴斯基这样的强制安全连接的防病毒软件

这来自一个日志：chrome://netinternals/#events

可能是由于服务器识别自身的方式，服务器正在向该特定浏览器发送重定向

如果打开developer inspector并运行查询，您将从初始请求中收到什么返回代码？

在HTTPS站点的HTTP响应中，在标题中查找HST

那会像你描述的那样；它可以强制父域和所有子域始终为HTTPS

编辑：这里有更多的细节，供感兴趣的人参考

通常，您会有一个用户通过HTTP访问您的站点。如果您想保护他们的连接，您可以将他们重定向到同一个页面，但不使用HTTPS。问题是重定向是通过网络进行的，在HTTP中，这是不安全的。中间人攻击可以阻止升级，让用户陷入HTTP；更糟糕的是，他们可能没有意识到自己受到了攻击。你可以只使用HTTPS提供你的站点，但是如果用户使用HTTP尝试你的站点，他们会认为你的站点关闭了，这也很糟糕

因此，HSTS（HTTP严格传输安全）是解决方案。大多数现代浏览器都支持它（Chrome/Firefox，我认为Safari和IE12也会支持它），而较老的浏览器会忽略它

HSTS应用于每个域。一旦yoursitehere.com的HSTS处于活动状态，如果用户在浏览器中键入内容，浏览器会执行不同的操作；它没有使用HTTP联系yoursitehere.com，而是在接入网络之前将查询重写为HTTPS。这减轻了中间人的攻击。

有两种方法可以打开HST。一种是使用HTTP响应头，它必须通过HTTPS提供服务。另一种方法是联系浏览器公司（谷歌、苹果、Mozilla、微软），要求将其添加到“HSTS预加载列表”中，该列表是浏览器附带的配置文件

如果使用响应头启用此选项，则还有一个附加选项；应该开启多少秒

无论采用哪种触发方法，都有一个主要的选择。“includeSubDomains”，被问及。如果设置了includeSubDomains，而不仅仅是包含yoursitehere.com。。。它还包括www.yoursitehere.com、mail.yoursitehere.com、static.yoursitehere.com等等

这是一个危险的事情，没有测试一点就打开

将站点移动到HTTPS可能会突出显示混合内容错误；有些浏览器将它们放在控制台中，有些弹出，但这是一个使用HTTP资源的HTTPS页面。如果您的站点已经一直支持HTTPS，那么这不是问题

同样，这也是危险的，因为它是按域进行的，而不是按路径进行的

因此，如果yoursitehere.com/your-application需要HST，但yoursitehere.com/other-teams-application不需要HST，那么一个产品/服务器可以为所有映射到同一域下的用户强制启用HST

Google（Gmail、Drive等）、Twitter、Facebook、Paypal和其他人已经使用了一段时间。

我注意到Chrome正在积极缓存我以前的301重定向。如果您以前有一个从http到https的301重定向，这可能就是问题所在。你可以在匿名模式下再次检查或清除缓存。这是最可能的原因，我通过进一步研究也发现了这一点。（由于与这里完全相同的症状，我选择了奖励。）我仍然希望对全额奖励有一个更为解释性的回答，例如，解释includeSubDomains属性以及HST的确切使用方式和位置。我想得到一个更为详细的答案；如果我遗漏了什么有用的东西，请告诉我，很高兴补充。

17239: URL_REQUEST 
http://forum.mywebsite.com/ 
Start Time: 10/24/2014 22: 14: 16,596 

t = -633,892 [st = 0] + REQUEST_ALIVE [dt =?] 
                   -> Has_upload = false 
                   -> Is_pending = true 
                   -> Load_flags = 3384432 (BYPASS_DATA_REDUCTION_PROXY | main_frame | MAYBE_USER_GESTURE | VERIFY_EV_CERT) 
                   -> Load_state = 0 (IDLE) 
                   -> Method = "GET" 
                   -> Status = "SUCCESS" 
                   -> Url = "http://forum.mywebsite.com/" 
                   -> Url_chain = ["http://forum.mywebsite.com/","https://forum.mywebsite.com/"]