Обходной путь HSTS для Chrome для Dev Environment

Question

Обходной путь HSTS для Chrome для Dev Environment

Мы ищем способ, чтобы Chrome обошел требования HSTS для нашей среды разработки.

Мы работаем над проектом для https://foo.com/.

В наших организациях внутренние dns у нас есть записи DNS для foo.com.dev, которые указывают на наш внутренний dev-сервер, который исторически позволял нам получать доступ к нашему dev-серверу через https://foo.com.dev/. Защищенные веб-запросы на этот сайт всегда сопровождались предупреждением о безопасности, которое мы смогли обойти, но в последней сборке Chrome кажется, что возможность обойти предупреждение была удалена. Мы можем продолжать использовать этот метод в IE, но хотели бы также иметь возможность тестировать Chrome.

Кроме того, разработчики смогли использовать собственные имена компьютеров в качестве суффиксов. Например, https://foo.com.workstation10/

Любые предложения будут приветствоваться, потому что перспектива перенастройки всей нашей среды разработки не очень приятна.

Чтобы быть понятным - доступ к этим сайтам полностью ограничен внутренними пользователями как настройкой брандмауэра, так и конфигурацией DNS.

5

google-chrome ssl-certificate hsts

Источник

user9631451 11 апр '18 в 15:30

1 ответ

Другие вопросы по тегам google-chrome ssl-certificate hsts

user2176812 11 апр '18 в 16:16 2018-04-11 16:16 · Answer 1 · 2018-04-11 16:16

Вы можете попробовать один из следующих вариантов:

1) Отправить Strict-Transport-Security заголовок только для foo.com, и не указывайте includeSubDomains,

2) Создайте самозаверяющие сертификаты для foo.com.dev на сервере и импортируйте их на хром вашего локального устройства.

3) Если ваш целевой домен ограничен только для внутренних целей, вы можете обойти его, просто набрав badidea в хромированном окне. Более подробная информация доступна здесь

Для более подробной информации о HSTS см. HSTS RFC