Hướng dẫn sửa lỗi SSL_ERROR_BAD_CERT_DOMAIN khi sử dụng HSTS

Chức năng tương tự cung cấp bảo vệ bổ sung khi bạn bật HSTS có thể là một trở ngại khi cố gắng truy cập trang web của bạn nếu bạn gặp lỗi trong trình duyệt của mình, chẳng hạn như:

Error code: SSL_ERROR_BAD_CERT_DOMAIN

Bạn sẽ không thể bỏ qua nó và tiếp tục truy cập trang web do lỗi trên các trang web HSTS bị buộc là không thể bỏ qua. Như đã đề cập trong xuất bản năm 2012 RFC6797 Mục 12.1 :

Không thiết lập kết nối an toàn trên bất kỳ cảnh báo hoặc lỗi nào (theo Mục 8.4 (“Lỗi trong thiết lập vận chuyển an toàn”)) nên được thực hiện với “no user recourse”. Điều này có nghĩa là người dùng không nên được trình bày với một hộp thoại cho họ tùy chọn để tiếp tục. Thay vào đó, nó nên được xử lý tương tự như lỗi máy chủ khi người dùng không thể làm gì thêm để tương tác với ứng dụng web đích, ngoài việc chờ đợi và thử lại. Về cơ bản, “bất kỳ cảnh báo hoặc lỗi nào” có nghĩa là bất kỳ điều gì có thể khiến việc triển khai UA thông báo cho người dùng rằng có gì đó không hoàn toàn chính xác với thiết lập kết nối. Không làm điều này, tức là, cho phép người dùng truy vấn, chẳng hạn như “nhấp qua hộp thoại cảnh báo / lỗi”, là một công thức cho một cuộc tấn công trung gian. Nếu một ứng dụng web đưa ra Chính sách HSTS, thì nó hoàn toàn chọn cách tiếp cận “không truy đòi người dùng”, theo đó tất cả các lỗi hoặc cảnh báo chứng chỉ gây ra chấm dứt kết nối, không có cơ hội “đánh lừa” người dùng đưa ra quyết định sai và tự thỏa hiệp .

SSL hết hạn

Nếu bạn thực sự nhận được thông báo lỗi nêu trên trong trình duyệt của mình, chứng chỉ SSL cho tên miền của bạn đã hết hạn và cần được gia hạn.

  • Trong trường hợp bạn đang sử dụng dịch vụ Let Encrypt, việc gia hạn sẽ được thực hiện tự động, trừ khi có chỉnh sửa trong vùng DNS. Ví dụ: cấu hình Cloudflare cho miền đó có thể là nguyên nhân khiến chứng chỉ Let Encrypt không được gia hạn. Điều này có thể yêu cầu bạn tạm dừng Cloudflare, lọc bộ nhớ cache Cloudflare, cấp chứng chỉ và sau đó kích hoạt lại Cloudflare. Nếu bạn gặp phải một vấn đề khác liên quan đến chứng chỉ SSL mà bạn không thể tự giải quyết, bạn luôn có thể gửi vé qua khu vực khách hàng của mình và nhóm kỹ thuật của chúng tôi sẽ có mặt để giúp bạn.
  • Nếu bạn đang sử dụng chứng chỉ GlobalSign, bạn sẽ phải gia hạn dịch vụ qua khu vực khách hàng của mình.

Nội dung hỗn hợp

Khi trình duyệt truy cập trang web thông qua kết nối HTTPS và phát hiện các tài nguyên không an toàn (HTTP), nó sẽ không tải chúng dẫn đến bố cục bị hỏng hoàn toàn không tải bất cứ thứ gì tùy thuộc vào tài nguyên chính xác được cung cấp qua HTTP. Điều này có thể được khắc phục bằng cách di chuyển tất cả nội dung HTTP sang HTTPS.

Nội dung hỗn hợp có thể được phân loại thành Hoạt động hoặc Bị động:

  • Nội dung hỗn hợp hoạt động bao gồm các tài nguyên như JavaScript, CSS, phông chữ, v.v. Trình duyệt sẽ không tải bất kỳ nội dung nào trong những trường hợp này, do khả năng chúng bị xâm phạm và được sử dụng cho các cuộc tấn công độc hại.
  • Nội dung hỗn hợp thụ động bao gồm các tài nguyên như hình ảnh, video / âm thanh, pdf, v.v. Hầu hết các trình duyệt có thể tải nội dung này ngay bây giờ, tuy nhiên với các chính sách chặt chẽ hơn về nội dung hỗn hợp sắp phát hành; chúng tôi có thể thấy nhiều trang lỗi đỏ hơn liên quan đến nội dung không bảo mật đang quảng bá cho các quản trị web để sửa nội dung hỗn hợp đó trên trang web của họ. Điều này là do kết nối chỉ được mã hóa một phần có nghĩa là nội dung không được mã hóa có thể truy cập được đối với người đánh hơi và dễ bị tấn công giữa chừng (MITM).

Bạn có thể sử dụng các plugin để giúp bạn khắc phục nội dung hỗn hợp của mình, chẳng hạn như Trình sửa lỗi nội dung không bảo mật SSL hoặc SSL Simple Simple (tính năng chuyên nghiệp) trong trường hợp bạn đang chạy một trang web dựa trên WordPress.

Chuyển hướng vòng

Tùy thuộc vào cấu hình trang web của bạn, bạn có thể gặp vòng lặp chuyển hướng khi bật HSTS. Điều này thường xảy ra nhưng không giới hạn ở việc chuyển hướng tất cả quy tắc lưu lượng truy cập trong tệp .htaccess của bạn:

RewriteEngine on

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Điều này cũng có thể được thực hiện bởi một plugin chuyển hướng vì các plugin đó sẽ tự động thêm các dòng mã trong tệp .htcaccess của bạn. Kết quả tương tự có thể được phát hiện, Nếu bạn đã bật chuyển hướng tương tự trong tệp máy chủ ảo, trong trường hợp bạn đang quản lý máy chủ của riêng mình.

Ngoài ra, xin lưu ý rằng HSTS có thể hoạt động không bình thường trong một số cấu hình nhất định thực hiện chuyển hướng trước hoặc sau khi được chỉ định trong tệp cấu hình có thể dẫn đến chuyển hướng thêm và thời gian tải chậm hơn cho người dùng cuối. Tuy nhiên, chẩn đoán loại lỗi chuyển hướng này không thể khái quát và phải được xem xét theo từng trường hợp cụ thể.

Tiêu đề được lưu trong bộ nhớ cache sau khi vô hiệu hóa HSTS

Tiêu đề HSTS chỉ dẫn rõ ràng cho các trình duyệt thời gian chờ đợi trước khi kiểm tra tương tự thông qua chỉ thị tuổi tối đa bên trong tiêu đề. Nếu bạn đã đặt mức đó thành 31536000 giây theo yêu cầu để thêm tên miền vào danh sách tải trước, điều này có nghĩa là trình duyệt sẽ ghi nhớ cài đặt trong 1 năm. 

bình luận

Leave a Comment