公司的 bug 管理系统放到阿里云上面, chrome 识别 https 一直危险
likeshu · 2017-09-13 16:51:20 +08:00 · 4391 次点击这是一个创建于 2611 天前的主题,其中的信息可能已经有所发展或是发生改变。
楼主是做安卓的,最近公司要把 bug 单放到网上,让我来弄。买了阿里云,申请了 阿里云的免费 https 证书,按照网上教程在 apache2 上面作了设置,但是用 chrome 访问的话,出现下面这个界面。
环境是:
Ubuntu 16.04 64,Apache/2.4.18,PHP7.0
第 1 条附言 · 2017-09-13 17:38:25 +08:00
用隐私模式访问空白页,还是有这个问题。
目前数据在里面,bug单上面有些我又改了下,估计有严重bug,不太方便给域名,呃。自己的就随便来了。。
第 2 条附言 · 2017-10-18 10:31:27 +08:00
反馈,一个月后,今天发现"自动"正常了,出现绿色 https 标记。一个月来,基本每个工作日都有在访问,都会点击"这是正常网站",另外之前也做了帖子下面说的在 chrome 提交报告的步骤。
 |
1
akira 2017-09-13 16:54:43 +08:00
放个空白页上去试试
|
 |
2
aru 2017-09-13 16:56:08 +08:00
不是证书的问题,也不是 https 的问题
似乎是网址的问题,或者是你网页内部含有危险的 js |
 |
3
eirk2004 2017-09-13 16:58:11 +08:00
|
 |
4
trydie 2017-09-13 17:00:02 +08:00
是不是服务器时间和你本地时间差别太大?
|
|
5
trydie 2017-09-13 17:00:44 +08:00
我有一次报错,是用的一个小众的云,然后他服务器默认时间不是现在时间,然后怎么配置 https 都报错
|
 |
6
likeshu OP @akira 空白页也是一样的,
@aru 你是说我的域名和证书的域名对不上?我比较了下,应该是一样的,难道 mt 后面有空格。。。 |
 |
7
xfspace 2017-09-13 17:02:57 +08:00 via Android
Either login_page.php:57
|
 |
8
honeycomb 2017-09-13 17:03:42 +08:00 via Android
你有没有注意到 chrome 的控制台给出的错误信息,那个可能是问题所在。
chrome 认为到网页内的某个脚本不符合当前 csp 政策的情况。 排查: 用隐私模式或者关掉全部的扩展访问,看看故障是否复现? 如果还是复现,则考虑 flagged by google safe browsing 的布隆过滤器出了 false postive 的问题 |
|
9
xfspace 2017-09-13 17:04:10 +08:00 via Android
检查一下扩展?
|
 |
10
Famio 2017-09-13 17:05:07 +08:00
最好还是不打码,能访问帮忙看下,公司介意的话就算了
|
 |
11
tghgffdgd 2017-09-13 17:10:57 +08:00
你看下 gppong...... 那个对应的是什么扩展
|
|
12
likeshu OP |
 |
13
moult 2017-09-13 17:19:16 +08:00
查看证书挡住了后面那个红字。那里可能有点线索。
当然,做好还是给一下域名,我们访问一下看看应该能看出个所以来。 用赛门铁克的证书应该不是这次出错的主要原因。 |
 |
14
ak47iej 2017-09-13 17:24:17 +08:00
non-secure origins 不是写着是 chrome 的插件有问题么...还是我理解错误,用隐身模式 /把所有插件停用了再打开一次?
|
|
15
honeycomb 2017-09-13 17:34:31 +08:00
@likeshu
你能确定已经排除不是因为 Wappalyzer 插入的那个不符合页面 CSP 的脚本的原因? 如果是这样的话,那么就是 google safe browsing API 认为截图中使用的域名是有问题的(当然这看上去非常像误报) |
|
16
honeycomb 2017-09-13 17:45:36 +08:00
@likeshu
看到后面的截图了,说明确实是 chrome 自带的 google safe browsing API 给了误报 以下链接可能有帮助 https://developers.google.com/webmasters/hacked/docs/request_review https://safebrowsing.google.com/safebrowsing/report_error/ |
|
18
honeycomb 2017-09-13 17:51:48 +08:00  1
@honeycomb
还有一种可能性,是 Chrome 开始逐步不信任赛门铁克的根证书. 你可以看一下 google 的 security blog 于 9 月 11 日发布的文章,看看是否符合你遇到的情况 来源: https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html |
|
19
honeycomb 2017-09-13 17:54:53 +08:00 1
@likeshu
作为辅助测试,也可以尝试在另一台电脑的 chrome 访问这个网站,看看报错信息是不是相同 因为证书是这两天发布的,也没有超过博文里 13 个月的要求,Chrome62 也未发布(截图里是在用 chrome beta/dev 吗?它们可能已经达到 Chrome 62 版本了) |
|
20
likeshu OP @honeycomb 好的,谢谢提示。chrome 是 60 的。同事的也有这个问题。我目前怀疑点有 1.赛门铁克的根证书和 chrome 的问题 2.还是感觉 apache2 的设置有问题。 目前看来可能性最大的应该是域名。我明天尝试下看换一个域名。
|
 |
21
zea 2017-09-13 19:20:24 +08:00 via Android
这个系统我司好像也在用
|
 |
22
natforum 2017-09-14 02:41:27 +08:00 via Android
1.可以先试试更换证书为 let·s ssl
2.关闭插件,清空缓存 3.可以试试 nginx |
 |
23
zhangqi222 2017-09-14 12:00:03 +08:00
前几天我也装了一下 SSL,也有这个问题,仅供参考
1,页面中 URL 没改完,还有不带 S ( HTTP )的链接 2,页面中有插件或组件调用第三方网址(显示无问题,再如果需要加载第三方网址就会出问题) |
Select Language