公司的 bug 管理系统放到阿里云上面, chrome 识别 https 一直危险

2017-09-13 16:51:20 +08:00
 likeshu

楼主是做安卓的,最近公司要把 bug 单放到网上,让我来弄。买了阿里云,申请了 阿里云的免费 https 证书,按照网上教程在 apache2 上面作了设置,但是用 chrome 访问的话,出现下面这个界面。 环境是: Ubuntu 16.04 64,Apache/2.4.18,PHP7.0

4443 次点击
所在节点    Linux
23 条回复
akira
2017-09-13 16:54:43 +08:00
放个空白页上去试试
aru
2017-09-13 16:56:08 +08:00
不是证书的问题,也不是 https 的问题
似乎是网址的问题,或者是你网页内部含有危险的 js
eirk2004
2017-09-13 16:58:11 +08:00
trydie
2017-09-13 17:00:02 +08:00
是不是服务器时间和你本地时间差别太大?
trydie
2017-09-13 17:00:44 +08:00
我有一次报错,是用的一个小众的云,然后他服务器默认时间不是现在时间,然后怎么配置 https 都报错
likeshu
2017-09-13 17:01:45 +08:00
@akira 空白页也是一样的,![tupian]( https://i.loli.net/2017/09/13/59b8f39f72076.jpg)
@aru 你是说我的域名和证书的域名对不上?我比较了下,应该是一样的,难道 mt 后面有空格。。。
xfspace
2017-09-13 17:02:57 +08:00
Either login_page.php:57
honeycomb
2017-09-13 17:03:42 +08:00
你有没有注意到 chrome 的控制台给出的错误信息,那个可能是问题所在。

chrome 认为到网页内的某个脚本不符合当前 csp 政策的情况。

排查:
用隐私模式或者关掉全部的扩展访问,看看故障是否复现?
如果还是复现,则考虑 flagged by google safe browsing 的布隆过滤器出了 false postive 的问题
xfspace
2017-09-13 17:04:10 +08:00
检查一下扩展?
Famio
2017-09-13 17:05:07 +08:00
最好还是不打码,能访问帮忙看下,公司介意的话就算了
tghgffdgd
2017-09-13 17:10:57 +08:00
你看下 gppong...... 那个对应的是什么扩展
likeshu
2017-09-13 17:11:32 +08:00
@trydie 测试了一下,阿里云的 date 时间和本地的相同。
@xfspace 用隐私模式访问空白页,还是有这个问题。
@honeycomb flagged by google safe browsing 这个怎么解决呢。
@eirk2004 之后考虑换一家吧。
moult
2017-09-13 17:19:16 +08:00
查看证书挡住了后面那个红字。那里可能有点线索。
当然,做好还是给一下域名,我们访问一下看看应该能看出个所以来。
用赛门铁克的证书应该不是这次出错的主要原因。
ak47iej
2017-09-13 17:24:17 +08:00
non-secure origins 不是写着是 chrome 的插件有问题么...还是我理解错误,用隐身模式 /把所有插件停用了再打开一次?
honeycomb
2017-09-13 17:34:31 +08:00
@likeshu
你能确定已经排除不是因为 Wappalyzer 插入的那个不符合页面 CSP 的脚本的原因?

如果是这样的话,那么就是 google safe browsing API 认为截图中使用的域名是有问题的(当然这看上去非常像误报)
honeycomb
2017-09-13 17:45:36 +08:00
@likeshu
看到后面的截图了,说明确实是 chrome 自带的 google safe browsing API 给了误报
以下链接可能有帮助

https://developers.google.com/webmasters/hacked/docs/request_review
https://safebrowsing.google.com/safebrowsing/report_error/
likeshu
2017-09-13 17:47:01 +08:00
@honeycomb 准备自己买个域名试一下。
honeycomb
2017-09-13 17:51:48 +08:00
@honeycomb
还有一种可能性,是 Chrome 开始逐步不信任赛门铁克的根证书.
你可以看一下 google 的 security blog 于 9 月 11 日发布的文章,看看是否符合你遇到的情况

来源:
https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
honeycomb
2017-09-13 17:54:53 +08:00
@likeshu

作为辅助测试,也可以尝试在另一台电脑的 chrome 访问这个网站,看看报错信息是不是相同

因为证书是这两天发布的,也没有超过博文里 13 个月的要求,Chrome62 也未发布(截图里是在用 chrome beta/dev 吗?它们可能已经达到 Chrome 62 版本了)
likeshu
2017-09-13 18:03:51 +08:00
@honeycomb 好的,谢谢提示。chrome 是 60 的。同事的也有这个问题。我目前怀疑点有 1.赛门铁克的根证书和 chrome 的问题 2.还是感觉 apache2 的设置有问题。 目前看来可能性最大的应该是域名。我明天尝试下看换一个域名。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/390427

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX