Evitar que o Google Chrome trate todos os URLs com uma base comum como conexões SSL

Navegue suas respostas
2

Eu hospedo vários sites através de um nome DNS fornecido pelo ISP, e os divido além da porta 80 do meu roteador usando uma instalação do haproxy. Ele funcionou muito bem para o meu (eu acho que é 11) sites exclusivos até que eu mudei um deles para ser https.

Agora, o Google Chrome assume que todos os meus sites são https e só posso acessar o que é https: - (

Suspeito que a razão pela qual o Chrome faz isso é porque todos os meus sites começam com o nome do meu domínio (myexampledomain.com). O exemplo 1 seria link e o site de exemplo 2 seria link e, por algum motivo, depois que o chrome acessasse com êxito o https link, o link não https é acessado automaticamente como https. Exclua os s (para torná-lo http) e o Chrome apenas o adiciona de volta.

Quando eu acesso meus sites pelo Internet Explorer 9, todos eles ainda funcionam bem ou pelo menos podem ser acessados sem que a conexão seja preenchida automaticamente como https. Então, não, não há redirecionamento http-para-https em algum lugar no meu back-end, isso é apenas o chrome sendo bobo. Alguém sabe por que o Chrome está sendo tolo e se ainda há uma maneira de acessar meus outros sites a partir do Chrome? Eu odeio o IE, e usá-lo me causa dor física; -)

    
por Hitsugaya198 04.05.2015 / 16:07

2 respostas

1

(Para escrever nossa discussão como uma resposta adequada:)

O Google Chrome (juntamente com todos os outros navegadores modernos) suporta o cabeçalho HTTP Strict-Transport-Security , que informa o navegador que "este site deve ser acessado apenas via HTTPS, então no futuro, mesmo se o usuário pedir HTTP, dê-lhe HTTPS." À medida que o uso de HTTPS se torna cada vez mais comum, o envio desse cabeçalho está se tornando padrão em novos softwares e estruturas, como geralmente se o HTTPS estiver configurado (o que precisa ser para o cabeçalho Strict-Transport-Security ter algum efeito) , é preferível usá-lo para tudo. Como você descobriu, o software que você estava usando é configurado por padrão para se comportar dessa maneira. Você não viu o comportamento no Internet Explorer 9, pois é muito antigo para suportar esse recurso da Web.

As duas soluções são: (1) alterar a configuração do software para não enviar o cabeçalho, pois você não quer forçar todos os usuários a passar por HTTPS ou (2) alterar todo o seu site para o trabalho corretamente por HTTPS. Eu geralmente recomendaria a segunda opção, pois assim que você tiver o servidor configurado e um certificado HTTPS em funcionamento, não há necessidade de usar uma conexão não criptografada na Internet atualmente.

    
por 05.05.2015 / 21:36
0

De acordo com a resposta de comentários de Peter Cooper Jr. minha mágoa é causada pela instalação do NGINX junto com o gitlab omnibus, que efetivamente informa aos clientes que devem sempre usar https ao se comunicar com ele e, no caso do Gitlab / NGINX, o período de comunicações seguras é definido em 24 meses!

Informações sobre cabeçalhos STS: link
Informações sobre a instalação do Gitlab: link

    
por 04.05.2015 / 16:49

Tags

Posso excluir com segurança o “VirtualBox Dropped Files”? Não é possível pingar computadores através de uma conexão em ponte