有没有人碰到最新的 chrome 把开发环境自定义的.dev 域名都跳 https 了

@mooncakejs 你知道谷歌搞这玩意目的是什么么？
用户点击 www.abc.com 会直接访问 http://www.abc.com 这时候不管你有没有 https，在 http 这一层就给你劫持然后强制或者非强制跳转了。
所以才有了 hsts 这玩意，访问一次 https，一定时间内只能访问 https。
但是首次访问的用户怎么办？ 他们还是会访问到 http，所以就又有了 preload list，这些域名，用户只要用 chrome firefox EDGE 这些，就直接访问 https ～
虽然不是 w3c 标准，但目的还是为了防止劫持和中间人攻击

@mooncakejs 360 绿标没有真正安全，说白了只能证明这个域名是“官方”的，但面对中间人攻击毫无意义～
此外，360 绿标也好，腾讯绿标也好，真正的目的只是为了收钱～

@mooncakejs 你先去了解一下这两者分别是什么再来说这话比较好，不是我说你，你是真的菜

@Moker 我那会是 62，也没发现这个问题，然后升级了一下，发现 63 确实强制了 https 了

@skylancer 区别是什么，我已经发出来了，一个是 RFC 一个是浏览器厂商标准，看不明白吗？

@mooncakejs 呵呵 还嘴硬，算了我继续看戏

@zuohuadong 防劫持我懂，为了安全我也懂。但是一个标准还没定下来就粗暴的

@mooncakejs 谷歌这个公司整体比较激进，也确实有很多东西是先于标准的～ 但是目的是好的

@skylancer 你哪来的优越感？说白了是看热闹不嫌事大。标准和功能是两回事。
@zuohuadong preload list 也只是在解决信任问题上更近了一步，而不是彻底解决。如果谷歌真的纯粹为了安全，那他为什么不把内置根证书和 preload list 权限交给操作系统上实现。毕竟浏览器下载过程中也可能中间人。

Google do evils

为了方便, 只能换 .test 域名了, 要不然大家可以试试 https://github.com/typicode/hotel , 这个可以给 .dev 域名生成自定义证书

chrome 这是在作死吗？ dev 和 app 好歹给留一个呀 不喜欢 test

@lepig 老哥，HSTS 和 preload 我都知道，但是请问一下 为什么会用 dev app 这些域名啊，还有这些域名不用购买吗？

@whx20202 程序员们都拿这些后缀来本地测试的，在本地用 hosts 解析。

@zgx030030 好吧。。我特么都是 127.0.0.1 的，尴尬了

没用过这些后缀 感觉自己不是程序员。。。

@whx20202 用 ip 加端口也可以啊，只是有时不如用域名方便，尤其多站点时，端口不方便的。

@mooncakejs 我的浏览器，我的域名，我就有权做，你不认同，可以不用的。

@mooncakejs Preload 是域名所有者提交给各大浏览器的。域名所有者当然对域名有权利。
你要说 RFC 规范的话，规范上提到的是对于 UA 已知的 HSTS 策略。Preload 就是一种分发 UA 已知 HSTS 策略的手段，因为谷歌公司已经收到域名所有者明确的要求，并且审核过这个域名确实有 HSTS 策略，才会把这个域名加入 Preload 中。申请的是域名所有者，策略是已经存在于世界上的，谷歌并没有凭空创造任何数据，只是「收集」了世界上已经有的东西，并且提前让 UA 也就是浏览器知道罢了。
反倒是在本地把 *.dev 写入 hosts，实质上是劫持了原本 Google 所拥有的域名。劫持他人的域名结果无法正常访问难道是域名所有者的错？那这么说的话，访问 google.com 不应该强制 HTTPS 而应该被 DNS 劫持去 baidu 才是正确的做法吗？

使用 .local 的路过，静静看你们撕 0.0