Всем привет!
из-за проблемы работы хрома с сертификатом, хочу удалить полностью сертификат с коробки.
Как это сделать?
Всем привет!
из-за проблемы работы хрома с сертификатом, хочу удалить полностью сертификат с коробки.
Как это сделать?
Всем привет!из-за проблемы работы хрома с сертификатом, хочу удалить полностью сертификат с коробки.
Как это сделать?
Если напрягают https+хром и нет другого сертификата, то Вам проще заходить по http и не париться
А в чём проблема получить сертификат ели уж такие напряги -> Получение сертификата для HTTPS
Ну вообще не всё так просто. Получил халявный сертификат, сделал его на mail.mydomen.ru и на mydomen.ru , а реально юзаю ещё кучу всего, например forum.mydomen.ru, video.mydomen.ru, у юзеров есть my-website.mydomen.ru, и т.д... Но можно получать на халяву только домен и один поддомен. Соответственно остальное блокируется как с левым сертификатом - не приятный момент. Выход как- бы есть, можно юзать http. Но нет, в моём случае нельзя. Потому что однажды, будучи не опытным, поставил галочку в Syno "Включить HSTS", и всё, пиздец начался именно с этого места. После, сразу же, галочку я снял, но ситуация вообще не изменилась. Теперь при заходе на любой адрес с любым портом по домену и поддомену mydomen.ru меня перекидывает на https, принудительно. Всё бы ничего, можно согласиться и принять несоответствующий сертификат, и пользоваться дальше, но не всегда. Например на роутере, ардуино, на телике.., на них нет никаких сертификатов и не поддерживают они https. С ними по домену соединиться не прокатывает. Домен где-то запомнен, и теперь пожизненно работает только по https, и никак иначе. Выход - захожу по IP.
однажды, будучи не опытным, поставил галочку в Syno "Включить HSTS"...После, сразу же, галочку я снял, но ситуация вообще не изменилась.
Кроме галочки "Включить HSTS" есть ещё одна - "Автоматически перенаправлять подключения HTTP на HTTPS."
PS HSTS - это браузерная опция. У Вас что все браузеры переклинило???
Совсем недавно я как раз решал эту проблему, цитирую сам себя из переписки, надеюсь, что вам поможет:
«Я тут погуглил немного и выяснил, что вы не одни такие, раз включившие HSTS, а потом не знавшие, как от него избавиться. Дело в том, что браузеры помнят настройки HSTS для сайтов, затребовавших высокую безопасность соединения, в течение очень длительного времени, как правило, года (это время заказывает сам сайт, но согласно принятым рекомендациям, оно не может быть меньше полугода). Соответственно, если вы включили HSTS на своём сервере, и хотя бы раз обратились к сайту на нём, сайт выдаст среди прочих специальный заголовок ("требую повышенной безопасности соединения в течение указанного времени"), Хром запомнит это требование, и даже если вы впоследствии отключите эту функцию (тот заголовок уже не будет вставляться в трафик), будет его ещё очень долго исполнять. Зачем так, я не знаю, но, наверное, это защита от какой-то специфической атаки.
Теперь что делать. Во-первых, надо убедиться, что на вашей Synology HSTS уже отключена (сервер больше не посылает соответствующие заголовки). Для этого подайте команду ps|grep httpd и посмотрите, нет ли в командных строках запуска ваших экземпляров Apache опции HSTS (подстроки -DHSTS). Если да, то отщёлкните соответствующие галочки, как для пользовательского веб-сервера, так и для системного (они в разных местах).
Для справки: соответствующая команда, включающая HSTS, когда Apache запускается с ключом -DHSTS, находится в файле /etc/httpd/conf/extra/httpd-ssl.conf-user и conf/extra/httpd-ssl.conf-sys, выглядит вот так:
<IfDefine HSTS>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfDefine>
Число в параметре max-age — это как раз один год, выраженный в секундах.
Теперь нам нужно заставить Хром забыть о вашем сайте с HSTS. Для этого откройте страничку настроек по адресу chrome://net-internals/#hsts и удалите оттуда имя вашего домена».
PS HSTS - это браузерная опция. У Вас что все браузеры переклинило???
По началу да, все. Спустя какое-то время, может месяц, только хром. Потом заметил, что только хром только с моей учёткой, установив хром по новому, но ещё не залогинясь и не синхронизировавшись всё работало нормально, после синхронизации таже болезнь.
Теперь что делать. Во-первых, надо убедиться, что на вашей Synology HSTS уже отключена (сервер больше не посылает соответствующие заголовки). Для этого подайте команду ps|grep httpd и посмотрите, нет ли в командных строках запуска ваших экземпляров Apache опции HSTS (подстроки -DHSTS). Если да, то отщёлкните соответствующие галочки, как для пользовательского веб-сервера, так и для системного (они в разных местах).
Для справки: соответствующая команда, включающая HSTS, когда Apache запускается с ключом -DHSTS, находится в файле /etc/httpd/conf/extra/httpd-ssl.conf-user и conf/extra/httpd-ssl.conf-sys, выглядит вот так:
<IfDefine HSTS>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfDefine>
Число в параметре max-age — это как раз один год, выраженный в секундах.
Это я не делал, так как на других компах хром не переадресовывал, соответственно, думаю, что уже отключено. Но проверю конечно же.
Теперь нам нужно заставить Хром забыть о вашем сайте с HSTS. Для этого откройте страничку настроек по адресу chrome://net-internals/#hsts и удалите оттуда имя вашего домена».
Это делал. Да и если посмотреть список, то мой домен в него не включен, но тем не менее оно работает.
Ну, если установлено, что браузер ничего не знает про HSTS для конкретного домена, значит, переадресация на https:// происходит не из-за HSTS, что ещё можно сказать.
Если напрягают https+хром и нет другого сертификата, то Вам проще заходить по http и не париться
А в чём проблема получить сертификат ели уж такие напряги -> Получение сертификата для HTTPS
Они ж вроде на DDNS домены не дают, не? Во всяком случае - мне на NO-IP-шные домены не дали... Или я что-то не так сделал?
Они ж вроде на DDNS домены не дают, не? Во всяком случае - мне на NO-IP-шные домены не дали... Или я что-то не так сделал?
Не дают - нужен свой домен.
Ну вообще не всё так просто. … а реально юзаю ещё кучу всего, например forum.mydomen.ru, video.mydomen.ru, у юзеров есть my-website.mydomen.ru, и т.д...
Пардон, конечно, может я чего не понял, но… при таких запросах и использовании все гораздо проще, ежели приобрести нормальный сертификат *.mydomain.ru и не иметь подобного геморроя более...
Халява - оно, конечно, слаще, но… если уж делать что-то столь масштабное и с претензией, то и делать это нужно грамотно и профессионально.
А это никогда не было дешево. Что уж там до бесплатно.
ЗЫ: хотя я вот лично не вижу особой надобности пускать видео по HTTPS. Разумеется, если не ставится цель обойти фильтрацию контента трафика. Хотя… при желании, и ее можно обойти.
Разумеется, все сугубо ИМХО.