Zertifikatswarnung umgehen
Ich experimentiere viel mit HTTPS und sehe viele Warnungen zu ungĂĽltigen Zertifikaten. Wie kann ich Seiten aufrufen, wenn sie HSTS verwenden?
Ich experimentiere viel mit HTTPS und sehe entsprechend viele Browserwarnungen zu ungĂĽltigen Zertifikaten. Normalerweise kann man die Warnung umgehen und die Seite dennoch ansehen, aber das klappt nicht, wenn die fehlerhafte Website HSTS nutzt.
Das ist Absicht. HTTP Strict Transport Security (HSTS) soll vor Angriffen schützen, die (temporär) HTTPS aushebeln. Damit man Nutzer auch mit gewiefter Manipulation nicht dazu bringen kann, diesen Schutz auszuhebeln, rät der relevante RFC 6797 explizit, Anwendern keine Umgehungsmöglichkeit zu bieten.
Trotzdem kennen Chromium-basierte Browser eine Art Cheat Code: Wenn Sie in solch einem Browser auf der Seite mit der Zertifikatswarnung "thisisunsafe" tippen (genau so und ohne, dass man währenddessen eine Reaktion der Seite sieht), dann umgeht der Browser die Warnung, sobald Sie das "e" tippen.
Wie die abzutippende Phrase deutlich macht, ist das kein empfehlenswertes Vorgehen. Sie sollten genau wissen, was Sie tun, und die Wirkung nach Gebrauch wieder aufheben (per Klick auf "Warnmeldungen aktivieren" im Pop-up mit den Zertifikatsinformationen). Es ist auch gut möglich, dass das Chromium-Team den Cheat Code eines Tages ändert oder deaktiviert; er wurde in der Vergangenheit bereits mehrfach angepasst, um die Verbreitung unsicheren Verhaltens zu verhindern.
(syt)
