V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

公司的 bug 管理系统放到阿里云上面, chrome 识别 https 一直危险

  •  
  •   likeshu · 8 天前 · 1601 次点击

    楼主是做安卓的,最近公司要把 bug 单放到网上,让我来弄。买了阿里云,申请了 阿里云的免费 https 证书,按照网上教程在 apache2 上面作了设置,但是用 chrome 访问的话,出现下面这个界面。 picture 环境是: Ubuntu 16.04 64,Apache/2.4.18,PHP7.0

    第 1 条附言  ·  8 天前

    用隐私模式访问空白页,还是有这个问题。 目前数据在里面,bug单上面有些我又改了下,估计有严重bug,不太方便给域名,呃。自己的就随便来了。。 tupian t2

    23 回复  |  直到 2017-09-14 12:00:03 +08:00
        1
    akira   8 天前
    放个空白页上去试试
        2
    aru   8 天前
    不是证书的问题,也不是 https 的问题
    似乎是网址的问题,或者是你网页内部含有危险的 js
        4
    trydie   8 天前
    是不是服务器时间和你本地时间差别太大?
        5
    trydie   8 天前
    我有一次报错,是用的一个小众的云,然后他服务器默认时间不是现在时间,然后怎么配置 https 都报错
        6
    likeshu   8 天前
    @akira 空白页也是一样的,![tupian]( https://i.loli.net/2017/09/13/59b8f39f72076.jpg)
    @aru 你是说我的域名和证书的域名对不上?我比较了下,应该是一样的,难道 mt 后面有空格。。。
        7
    xfspace   8 天前 via Android
    Either login_page.php:57
        8
    honeycomb   8 天前 via Android
    你有没有注意到 chrome 的控制台给出的错误信息,那个可能是问题所在。

    chrome 认为到网页内的某个脚本不符合当前 csp 政策的情况。

    排查:
    用隐私模式或者关掉全部的扩展访问,看看故障是否复现?
    如果还是复现,则考虑 flagged by google safe browsing 的布隆过滤器出了 false postive 的问题
        9
    xfspace   8 天前 via Android
    检查一下扩展?
        10
    Famio   8 天前
    最好还是不打码,能访问帮忙看下,公司介意的话就算了
        11
    tghgffdgd   8 天前
    你看下 gppong...... 那个对应的是什么扩展
        12
    likeshu   8 天前
    @trydie 测试了一下,阿里云的 date 时间和本地的相同。
    @xfspace 用隐私模式访问空白页,还是有这个问题。
    @honeycomb flagged by google safe browsing 这个怎么解决呢。
    @eirk2004 之后考虑换一家吧。
        13
    moult   8 天前
    查看证书挡住了后面那个红字。那里可能有点线索。
    当然,做好还是给一下域名,我们访问一下看看应该能看出个所以来。
    用赛门铁克的证书应该不是这次出错的主要原因。
        14
    ak47iej   8 天前
    non-secure origins 不是写着是 chrome 的插件有问题么...还是我理解错误,用隐身模式 /把所有插件停用了再打开一次?
        15
    honeycomb   8 天前
    @likeshu
    你能确定已经排除不是因为 Wappalyzer 插入的那个不符合页面 CSP 的脚本的原因?

    如果是这样的话,那么就是 google safe browsing API 认为截图中使用的域名是有问题的(当然这看上去非常像误报)
        16
    honeycomb   8 天前
    @likeshu
    看到后面的截图了,说明确实是 chrome 自带的 google safe browsing API 给了误报
    以下链接可能有帮助

    https://developers.google.com/webmasters/hacked/docs/request_review
    https://safebrowsing.google.com/safebrowsing/report_error/
        17
    likeshu   8 天前
    @honeycomb 准备自己买个域名试一下。
        18
    honeycomb   8 天前   ♥ 1
    @honeycomb
    还有一种可能性,是 Chrome 开始逐步不信任赛门铁克的根证书.
    你可以看一下 google 的 security blog 于 9 月 11 日发布的文章,看看是否符合你遇到的情况

    来源:
    https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
        19
    honeycomb   8 天前   ♥ 1
    @likeshu

    作为辅助测试,也可以尝试在另一台电脑的 chrome 访问这个网站,看看报错信息是不是相同

    因为证书是这两天发布的,也没有超过博文里 13 个月的要求,Chrome62 也未发布(截图里是在用 chrome beta/dev 吗?它们可能已经达到 Chrome 62 版本了)
        20
    likeshu   8 天前
    @honeycomb 好的,谢谢提示。chrome 是 60 的。同事的也有这个问题。我目前怀疑点有 1.赛门铁克的根证书和 chrome 的问题 2.还是感觉 apache2 的设置有问题。 目前看来可能性最大的应该是域名。我明天尝试下看换一个域名。
        21
    zea   8 天前 via Android
    这个系统我司好像也在用
        22
    natforum   8 天前 via Android
    1.可以先试试更换证书为 let·s ssl
    2.关闭插件,清空缓存
    3.可以试试 nginx
        23
    zhangqi222   8 天前
    前几天我也装了一下 SSL,也有这个问题,仅供参考
    1,页面中 URL 没改完,还有不带 S ( HTTP )的链接
    2,页面中有插件或组件调用第三方网址(显示无问题,再如果需要加载第三方网址就会出问题)
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   2619 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.7.5 · 54ms · UTC 06:18 · PVG 14:18 · LAX 23:18 · JFK 02:18
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1