V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

公司的 bug 管理系统放到阿里云上面, chrome 识别 https 一直危险

  •  
  •   likeshu · 69 天前 · 1988 次点击
    这是一个创建于 69 天前的主题,其中的信息可能已经有所发展或是发生改变。

    楼主是做安卓的,最近公司要把 bug 单放到网上,让我来弄。买了阿里云,申请了 阿里云的免费 https 证书,按照网上教程在 apache2 上面作了设置,但是用 chrome 访问的话,出现下面这个界面。 picture 环境是: Ubuntu 16.04 64,Apache/2.4.18,PHP7.0

    第 1 条附言  ·  69 天前

    用隐私模式访问空白页,还是有这个问题。 目前数据在里面,bug单上面有些我又改了下,估计有严重bug,不太方便给域名,呃。自己的就随便来了。。 tupian t2

    第 2 条附言  ·  34 天前
    反馈,一个月后,今天发现"自动"正常了,出现绿色 https 标记。一个月来,基本每个工作日都有在访问,都会点击"这是正常网站",另外之前也做了帖子下面说的在 chrome 提交报告的步骤。
    23 回复  |  直到 2017-09-14 12:00:03 +08:00
        1
    akira   69 天前
    放个空白页上去试试
        2
    aru   69 天前
    不是证书的问题,也不是 https 的问题
    似乎是网址的问题,或者是你网页内部含有危险的 js
        4
    trydie   69 天前
    是不是服务器时间和你本地时间差别太大?
        5
    trydie   69 天前
    我有一次报错,是用的一个小众的云,然后他服务器默认时间不是现在时间,然后怎么配置 https 都报错
        6
    likeshu   69 天前
    @akira 空白页也是一样的,![tupian]( https://i.loli.net/2017/09/13/59b8f39f72076.jpg)
    @aru 你是说我的域名和证书的域名对不上?我比较了下,应该是一样的,难道 mt 后面有空格。。。
        7
    xfspace   69 天前 via Android
    Either login_page.php:57
        8
    honeycomb   69 天前 via Android
    你有没有注意到 chrome 的控制台给出的错误信息,那个可能是问题所在。

    chrome 认为到网页内的某个脚本不符合当前 csp 政策的情况。

    排查:
    用隐私模式或者关掉全部的扩展访问,看看故障是否复现?
    如果还是复现,则考虑 flagged by google safe browsing 的布隆过滤器出了 false postive 的问题
        9
    xfspace   69 天前 via Android
    检查一下扩展?
        10
    Famio   69 天前
    最好还是不打码,能访问帮忙看下,公司介意的话就算了
        11
    tghgffdgd   69 天前
    你看下 gppong...... 那个对应的是什么扩展
        12
    likeshu   69 天前
    @trydie 测试了一下,阿里云的 date 时间和本地的相同。
    @xfspace 用隐私模式访问空白页,还是有这个问题。
    @honeycomb flagged by google safe browsing 这个怎么解决呢。
    @eirk2004 之后考虑换一家吧。
        13
    moult   69 天前
    查看证书挡住了后面那个红字。那里可能有点线索。
    当然,做好还是给一下域名,我们访问一下看看应该能看出个所以来。
    用赛门铁克的证书应该不是这次出错的主要原因。
        14
    ak47iej   69 天前
    non-secure origins 不是写着是 chrome 的插件有问题么...还是我理解错误,用隐身模式 /把所有插件停用了再打开一次?
        15
    honeycomb   69 天前
    @likeshu
    你能确定已经排除不是因为 Wappalyzer 插入的那个不符合页面 CSP 的脚本的原因?

    如果是这样的话,那么就是 google safe browsing API 认为截图中使用的域名是有问题的(当然这看上去非常像误报)
        16
    honeycomb   69 天前
    @likeshu
    看到后面的截图了,说明确实是 chrome 自带的 google safe browsing API 给了误报
    以下链接可能有帮助

    https://developers.google.com/webmasters/hacked/docs/request_review
    https://safebrowsing.google.com/safebrowsing/report_error/
        17
    likeshu   69 天前
    @honeycomb 准备自己买个域名试一下。
        18
    honeycomb   69 天前   ♥ 1
    @honeycomb
    还有一种可能性,是 Chrome 开始逐步不信任赛门铁克的根证书.
    你可以看一下 google 的 security blog 于 9 月 11 日发布的文章,看看是否符合你遇到的情况

    来源:
    https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
        19
    honeycomb   69 天前   ♥ 1
    @likeshu

    作为辅助测试,也可以尝试在另一台电脑的 chrome 访问这个网站,看看报错信息是不是相同

    因为证书是这两天发布的,也没有超过博文里 13 个月的要求,Chrome62 也未发布(截图里是在用 chrome beta/dev 吗?它们可能已经达到 Chrome 62 版本了)
        20
    likeshu   69 天前
    @honeycomb 好的,谢谢提示。chrome 是 60 的。同事的也有这个问题。我目前怀疑点有 1.赛门铁克的根证书和 chrome 的问题 2.还是感觉 apache2 的设置有问题。 目前看来可能性最大的应该是域名。我明天尝试下看换一个域名。
        21
    zea   68 天前 via Android
    这个系统我司好像也在用
        22
    natforum   68 天前 via Android
    1.可以先试试更换证书为 let·s ssl
    2.关闭插件,清空缓存
    3.可以试试 nginx
        23
    zhangqi222   68 天前
    前几天我也装了一下 SSL,也有这个问题,仅供参考
    1,页面中 URL 没改完,还有不带 S ( HTTP )的链接
    2,页面中有插件或组件调用第三方网址(显示无问题,再如果需要加载第三方网址就会出问题)
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   2362 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 63ms · UTC 10:13 · PVG 18:13 · LAX 02:13 · JFK 05:13
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1