Как мне работать с NET: ERR_CERT_AUTHORITY_INVALID в Chrome?


88

Мое рабочее место перехватывает SSL-соединения, просматривает их содержимое, а затем передает данные на мою машину и на удаленные хосты - своего рода атака «человек посередине». Это не редкость в корпоративной или корпоративной среде.

Теперь на моем компьютере работает виртуальная машина. Виртуальная машина не имеет сертификатов, которые есть у реальной машины, которые позволяют MITM работать прозрачно. В результате я получаю это сообщение:

NET :: ERR_CERT_AUTHORITY_INVALID сообщение в Chrome

Что я могу сделать, чтобы решить эту проблему?


1
Установите поддельные сертификаты на виртуальной машине.
Ramhound

@ Ƭᴇcʜιᴇ007: корпоративный идентификатор не хотел затрагивать проблему. Не позволяйте слову «корпоративный» бросить вас, это совершенно законный вопрос о центрах сертификации.
Ричард

@Ramhound: Трудно было найти сертификаты.
Ричард

Ответы:


61

Первым делом первым:

НЕ ДЕЛАЙТЕ СЛЕДУЮЩЕГО, ЕСЛИ ВЫ НЕ ДОВЕРЯЕТЕ СЕРТИФИКАТУ-ИЗДАТЕЛЬУ

Это позволяет человеку-посреднику видеть все ваши сообщения. Это исправление следует применять только в том случае, если вы находитесь в ситуации, которая этого требует, а не в том случае, если вы сидите в кафе и у вас возникают проблемы с подключением к вещам.

Это сказал ...

Первым шагом является получение сертификата MITM.

Для этого нажмите на небольшую блокировку HTTPS и нажмите «Детали»:

Детали страницы

Нажмите «Просмотр сертификата» в появившемся диалоговом окне.

Панель сведений о сертификате

Нажмите «Детали» в средстве просмотра сертификатов и выберите верхний сертификат, который должен быть с адреса, отличного от того, к которому вы пытались добраться (см. Рисунок):

Просмотрщик сертификатов

Затем нажмите «Экспорт» и сохраните файл сертификата.

Теперь перейдите в Настройки → Дополнительно → Управление сертификатами ... → Полномочия

Меню настроек

И нажмите «Импорт». Выберите файл сертификата, который вы сохранили ранее, и установите все флажки, которые появляются, авторизуя его на сертификацию всего.

Меню управления сертификатами


// Мой диалог для Просмотрщика сертификатов не содержит двух вкладок, и я не могу экспортировать файл сертификата. На какой версии Chrome или Chromium вы это тестировали?
Натан Басанезе

@NathanBasanese: прости; Я не уверен, что это была версия. С тех пор я поменялся местами.
Ричард

2
Мне пришлось перезапустить Chrome, прежде чем это работало правильно на Windows (задача убить Chrome). Отличный гид
Сэм

7
Ссылка «Сведения» не отображается в Chrome OSX 57.0.2987.110 (64-разрядная
версия

3
Chrome 57.0.2987.133 (64-разрядная версия), OSX 10.9.4. Я открываю Securityвкладку из Inspect Elementинструментов разработки. И я вижу детали сертификата. Но и этого нет Export. Я могу экспортировать сертификат, используя Firefox. Но когда я открыл Manage Certificatesв Chrome и пытался импортировать сертификат в Chrome. Диспетчер сертификатов открытой системы Chrome вместо диспетчера сертификатов Chrome. Затем я попытался набрать chrome://settings/certificatesв адресной строке, он только перенаправить на chrome://settings.
Ник Донг

28

Надеюсь, я не слишком оживлю это в игре, но я искал этот ответ и выяснил, как заставить решение Ричарда работать с Chrome 59.0.3071.115 для Mac.

  1. Загрузите страницу с самозаверяющим сертификатом, из-за которого Chrome выдает ошибку
  2. Нажмите тройные горизонтальные точки в правом верхнем углу, чтобы перейти к Дополнительные инструменты> Инструменты разработчика; нажмите на вкладку Безопасность
  3. Нажмите «Просмотреть сертификат»
  4. В маленьком всплывающем окне должна быть фотография сертификата. Нажмите / перетащите это в какое-то место в Finder.
  5. Тройные горизонтальные точки> Настройки> Дополнительно> Управление сертификатами
  6. Если цепочка для ключей заблокирована (блокировка в верхнем левом углу всплывающего окна), разблокируйте ее, используя системный пароль
  7. Выберите «Войти» в разделе «Брелки» (вверху слева) и «Сертификаты» в разделе «Категория» (внизу слева)
  8. Нажмите / перетащите сертификат, который вы загрузили, в правую часть окна доступа к связке ключей.
  9. Блокировка замка в левом верхнем углу окна доступа к брелку
  10. Закройте и снова откройте Chrome (убедитесь, что Chrome полностью закрыт - принудительно завершите работу, если вам нужно)
  11. В связке ключей щелкните правой кнопкой мыши свой сертификат, «Получить информацию», «Доверие» и «Всегда доверять» для SSL!

1
Перетаскивание не работает в Windows 10. Также я не вижу «логин» в окне управления сертификатами ...
Radmation

3
Большое спасибо! Еще один шаг для меня (Chrome от 26 октября 2018 года): в Keychain щелкните правой кнопкой мыши свой сертификат, «Получить информацию», «Доверие» и «Всегда доверять» для SSL!
Нико

Для Chrome версии 75.0.3770.142 закрытие (и повторное открытие) не требовалось.
Кенни Эвитт

Перетаскивание мышью, работающее в MacOS Mojave (10.14). Спасибо за фактическое подробное решение этого.
Лусио Моллинедо

15

Если вы только что установили сертификат SSL на своем веб-сайте после получения этой ошибки, вам может потребоваться перезапустить Chrome. Самый простой способ - chrome://restartэто открыть все ваши вкладки.

Я получал эту ошибку, хотя SSL Labs сообщал мне, что у меня есть сертификат A +. Хром был просто тупым и не освежал должным образом.



2

Еще один вариант: менее распространенный, но стоит знать.

Ваш компьютер может иметь старый сертификат и игнорировать текущий.

Я должен был пойти в приложение Связки ключей на Mac и удалить устаревшие / ненадежные сертификаты, чтобы он загружал новые.


1
Как удалить просроченные / ненадежные сертификаты
Ipsita Rout

1

Если вы нажмете на расширенную ссылку, вам все равно будет предложено продолжить.

введите описание изображения здесь

Впоследствии, когда вы посещаете тот же сайт, предупреждение не будет отображаться, но в адресной строке будет отображаться «Небезопасно». Если вы нажимаете на слова «Небезопасно», вам сообщают, что вы решили отключить предупреждения для этого сайта, но вы можете включить их снова.

введите описание изображения здесь


2
Похоже, что ссылка «продолжить в любом случае» была удалена
JRH

1
@jrh он все еще там, если вы открываете его в режиме инкогнито, но в обычном режиме браузера его нет
Miroslav Saracevic

@MiroslavSaracevic Я также не вижу его в режиме инкогнито , я думаю, что есть несколько ошибок сертификата.
JRH
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.