首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
V2EX  ›  Chrome

Chrome 对证书检验是不是有特殊处理

  •  
  •   j0hnj · 185 天前 · 1623 次点击
    这是一个创建于 185 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一个自签名的根证书,已经添加到了 Windows 的信任根证书列表中,通过 Edge 和 IE 访问能通过校验,显示的是安全的网页。但是用 Chrome 访问就一直提示不安全,点开证书详情看也没有提示证书无效之类的:

    24 回复  |  直到 2019-04-17 16:15:12 +08:00
        1
    yexm0   185 天前 via Android
    去 chrome://flags 然后用 localhost 做关键词搜一下
        2
    SingeeKing   185 天前
    chrome://flags/#allow-insecure-localhost
        3
    j0hnj   185 天前
    @yexm0 #1
    @SingeeKing #2

    这个 flag 说:
    Allows requests to localhost over HTTPS even when an invalid certificate is presented. – Mac, Windows, Linux, Chrome OS, Android

    但是我这个 localhost 的证书是有效的啊,而且开了这个 flag 之后,仍然会显示 Not Secure
        4
    lisonfan   185 天前 via iPhone
    Chrome 貌似有自己的信任表,不用 Windows 的?
        5
    ladypxy   185 天前 via iPhone
    Chrome 会检查证书链,这就是你至少要有 2 级证书才会信任
        6
    j0hnj   185 天前
    @lisonfan #4 Chrome 用的是 Windows 的,自己维护了一套的是 Firefox。我把根证书导到 firefox 的证书管理器后,用 Firefox 也可以正常访问。
        7
    j0hnj   185 天前
    @ladypxy #5
    实际上现在就是 2 级:
        8
    ladypxy   185 天前
    @j0hnj 你需要去信任根证书,主要要添加到正确的位置
        9
    j0hnj   185 天前 via iPhone
    @ladypxy #8 已经添加到正确位置了,因为 edge 和 IE 都能信任这个证书
        10
    wdlth   185 天前
    也有可能是因为没有 CT 或者是你的协议太旧等其他原因。
        12
    hanguofu   185 天前
    兄弟不才,斗胆说两句: 很早以前,google 就已经不提倡使用 localhost ,而是使用 127.0.0.1.
    不知道是不是这个原因?
        13
    ladypxy   185 天前 via iPhone
    @j0hnj 看看你证书是不是 sha2 的?同时必须有 ct 和 san
        14
    xenme   185 天前 via iPhone
    第一个截图点下 certificate invalid,chrome 会告诉你为啥不信任的
        15
    j0hnj   185 天前 via iPhone
    @xenme #14 第二个截图就是第一个点开之后的,chrome 也没有显示为啥 invalid
        16
    nannanziyu   185 天前
    @j0hnj
    F12 -> Security 看看呢,应该会给错误码
        17
    hmzt   185 天前
    签名算法和公钥长度?
        18
    huijiewei   185 天前
    不要纠结了,直接 mkcert 搞起就好了
        19
    Keyes   185 天前 via iPhone
    配 san 属性了吗?
        20
    Vegetable   185 天前
    这证书用途看起来怪怪的呢?不应该是服务器证书吗
        21
    Vegetable   185 天前
    我这里是中文,SSL 服务器证书
        22
    xenme   185 天前
    @j0hnj

    说错了,参考 @nannanziyu,security 那里会有详细的错误描述
        23
    j0hnj   185 天前
    配 san 之后 chrome 仍然认为 invalid, 然后改 hosts 给 127.0.0.1 配了一个正常的域名,再用这个域名去签发证书,就可以。
        24
    redsonic   185 天前
    歪个楼,如果 chrome 发现有其他站用了 g 家的域名签发的证书就会把该证书上传上去. 不严格的讲 chrome 是操作系统不是单纯的浏览器.
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2317 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 23ms · UTC 09:34 · PVG 17:34 · LAX 02:34 · JFK 05:34
    ♥ Do have faith in what you're doing.