V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
likeshu
V2EX  ›  Linux

公司的 bug 管理系统放到阿里云上面, chrome 识别 https 一直危险

  •  
  •   likeshu · 2017-09-13 16:51:20 +08:00 · 4438 次点击
    这是一个创建于 2646 天前的主题,其中的信息可能已经有所发展或是发生改变。

    楼主是做安卓的,最近公司要把 bug 单放到网上,让我来弄。买了阿里云,申请了 阿里云的免费 https 证书,按照网上教程在 apache2 上面作了设置,但是用 chrome 访问的话,出现下面这个界面。 picture 环境是: Ubuntu 16.04 64,Apache/2.4.18,PHP7.0

    第 1 条附言  ·  2017-09-13 17:38:25 +08:00

    用隐私模式访问空白页,还是有这个问题。 目前数据在里面,bug单上面有些我又改了下,估计有严重bug,不太方便给域名,呃。自己的就随便来了。。 tupian t2

    第 2 条附言  ·  2017-10-18 10:31:27 +08:00
    反馈,一个月后,今天发现"自动"正常了,出现绿色 https 标记。一个月来,基本每个工作日都有在访问,都会点击"这是正常网站",另外之前也做了帖子下面说的在 chrome 提交报告的步骤。
    23 条回复    2017-09-14 12:00:03 +08:00
    akira
        1
    akira  
       2017-09-13 16:54:43 +08:00
    放个空白页上去试试
    aru
        2
    aru  
       2017-09-13 16:56:08 +08:00
    不是证书的问题,也不是 https 的问题
    似乎是网址的问题,或者是你网页内部含有危险的 js
    eirk2004
        3
    eirk2004  
       2017-09-13 16:58:11 +08:00
    trydie
        4
    trydie  
       2017-09-13 17:00:02 +08:00
    是不是服务器时间和你本地时间差别太大?
    trydie
        5
    trydie  
       2017-09-13 17:00:44 +08:00
    我有一次报错,是用的一个小众的云,然后他服务器默认时间不是现在时间,然后怎么配置 https 都报错
    likeshu
        6
    likeshu  
    OP
       2017-09-13 17:01:45 +08:00
    @akira 空白页也是一样的,![tupian]( https://i.loli.net/2017/09/13/59b8f39f72076.jpg)
    @aru 你是说我的域名和证书的域名对不上?我比较了下,应该是一样的,难道 mt 后面有空格。。。
    xfspace
        7
    xfspace  
       2017-09-13 17:02:57 +08:00 via Android
    Either login_page.php:57
    honeycomb
        8
    honeycomb  
       2017-09-13 17:03:42 +08:00 via Android
    你有没有注意到 chrome 的控制台给出的错误信息,那个可能是问题所在。

    chrome 认为到网页内的某个脚本不符合当前 csp 政策的情况。

    排查:
    用隐私模式或者关掉全部的扩展访问,看看故障是否复现?
    如果还是复现,则考虑 flagged by google safe browsing 的布隆过滤器出了 false postive 的问题
    xfspace
        9
    xfspace  
       2017-09-13 17:04:10 +08:00 via Android
    检查一下扩展?
    Famio
        10
    Famio  
       2017-09-13 17:05:07 +08:00
    最好还是不打码,能访问帮忙看下,公司介意的话就算了
    tghgffdgd
        11
    tghgffdgd  
       2017-09-13 17:10:57 +08:00
    你看下 gppong...... 那个对应的是什么扩展
    likeshu
        12
    likeshu  
    OP
       2017-09-13 17:11:32 +08:00
    @trydie 测试了一下,阿里云的 date 时间和本地的相同。
    @xfspace 用隐私模式访问空白页,还是有这个问题。
    @honeycomb flagged by google safe browsing 这个怎么解决呢。
    @eirk2004 之后考虑换一家吧。
    moult
        13
    moult  
       2017-09-13 17:19:16 +08:00
    查看证书挡住了后面那个红字。那里可能有点线索。
    当然,做好还是给一下域名,我们访问一下看看应该能看出个所以来。
    用赛门铁克的证书应该不是这次出错的主要原因。
    ak47iej
        14
    ak47iej  
       2017-09-13 17:24:17 +08:00
    non-secure origins 不是写着是 chrome 的插件有问题么...还是我理解错误,用隐身模式 /把所有插件停用了再打开一次?
    honeycomb
        15
    honeycomb  
       2017-09-13 17:34:31 +08:00
    @likeshu
    你能确定已经排除不是因为 Wappalyzer 插入的那个不符合页面 CSP 的脚本的原因?

    如果是这样的话,那么就是 google safe browsing API 认为截图中使用的域名是有问题的(当然这看上去非常像误报)
    honeycomb
        16
    honeycomb  
       2017-09-13 17:45:36 +08:00
    @likeshu
    看到后面的截图了,说明确实是 chrome 自带的 google safe browsing API 给了误报
    以下链接可能有帮助

    https://developers.google.com/webmasters/hacked/docs/request_review
    https://safebrowsing.google.com/safebrowsing/report_error/
    likeshu
        17
    likeshu  
    OP
       2017-09-13 17:47:01 +08:00
    @honeycomb 准备自己买个域名试一下。
    honeycomb
        18
    honeycomb  
       2017-09-13 17:51:48 +08:00   ❤️ 1
    @honeycomb
    还有一种可能性,是 Chrome 开始逐步不信任赛门铁克的根证书.
    你可以看一下 google 的 security blog 于 9 月 11 日发布的文章,看看是否符合你遇到的情况

    来源:
    https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
    honeycomb
        19
    honeycomb  
       2017-09-13 17:54:53 +08:00   ❤️ 1
    @likeshu

    作为辅助测试,也可以尝试在另一台电脑的 chrome 访问这个网站,看看报错信息是不是相同

    因为证书是这两天发布的,也没有超过博文里 13 个月的要求,Chrome62 也未发布(截图里是在用 chrome beta/dev 吗?它们可能已经达到 Chrome 62 版本了)
    likeshu
        20
    likeshu  
    OP
       2017-09-13 18:03:51 +08:00
    @honeycomb 好的,谢谢提示。chrome 是 60 的。同事的也有这个问题。我目前怀疑点有 1.赛门铁克的根证书和 chrome 的问题 2.还是感觉 apache2 的设置有问题。 目前看来可能性最大的应该是域名。我明天尝试下看换一个域名。
    zea
        21
    zea  
       2017-09-13 19:20:24 +08:00 via Android
    这个系统我司好像也在用
    natforum
        22
    natforum  
       2017-09-14 02:41:27 +08:00 via Android
    1.可以先试试更换证书为 let·s ssl
    2.关闭插件,清空缓存
    3.可以试试 nginx
    zhangqi222
        23
    zhangqi222  
       2017-09-14 12:00:03 +08:00
    前几天我也装了一下 SSL,也有这个问题,仅供参考
    1,页面中 URL 没改完,还有不带 S ( HTTP )的链接
    2,页面中有插件或组件调用第三方网址(显示无问题,再如果需要加载第三方网址就会出问题)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5047 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 07:50 · PVG 15:50 · LAX 23:50 · JFK 02:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.