it-swarm.com.de

net :: ERR_INSECURE_RESPONSE in Chrome

Beim Abrufen von Daten aus meiner API wird in der Chrome-Konsole eine Fehlermeldung net :: ERR_INSECURE_RESPONSE angezeigt

Dieser Fehler tritt normalerweise als Ergebnis eines unsignierten Zertifikats auf. Dies ist jedoch kein Problem, da ich ein gültiges und signiertes Zertifikat habe. 

Der Fehler tritt nicht allzu oft auf und verschwindet, wenn ich meinen Chrome-Browser neu starte. Es kommt auch in keinem anderen Browser vor (getestet auf Safari, Mozilla, Opera)

Irgendeine Idee, warum das passiert? Ist das nur ein Browserfehler?

61
Karim

Dies geschieht, wenn Sie von Chrome 55 auf Chrome 56 (56.0.2924.87) aktualisieren.
Dies erhöht die Durchsetzung der Sicherheit. 
Es geht nicht durch einen Neustart des Browsers verloren und es ist kein Fehler. 

Mountain View sagt, es hofft, dass Sie nie auf die Nachricht stoßen, weil Zertifizierungsstellen dazu verpflichtet sind, SHA-1 nicht mehr auszugeben Zertifikate im Jahr 2016. Nur für den Fall, dass Google plant, weiterhin auszugeben Warnungen, bis Chrome SHA-1 im Januar vollständig nicht mehr unterstützt 1st, 2017. Wenn dieser Tag kommt, eine Website, die immer noch die Funktion .__ verwendet. wird einen schwerwiegenden Netzwerkfehler auslösen . (Quelle: Engadget.com )

In diesem Fall liegt die wahrscheinlichste Ursache darin, dass Ihr SSL-Zertifikat (oder die Website) SHA1 verwendet. 
SHA1 ist defekt, und SSL-Zertifikate mit SHA1 sind nicht mehr sicher (Chrome hat Ihnen dies schon lange gezeigt - jetzt blockiert es NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM). 

Eine andere wahrscheinliche Ursache ist, dass Ihr SSL-Zertifikat abgelaufen ist
Außerdem sollten Sie die Rückwärtskompatibilität mit SSL2 und SSL3 ( Poodle Attack ) deaktivieren. 
Sie sollten nur TLS (SSL 3.1+) verwenden. 

Um das SSL-Zertifikat Ihrer Domain zu testen, können Sie SSL-labs SSL labs verwenden.

Um herauszufinden, was genau das Problem ist, gehen Sie folgendermaßen vor: Öffnen Sie die Chrome-Entwicklerkonsole (STRG + UMSCHALT + J OR F12) Wechseln Sie zur Registerkarte "Sicherheit" 

 Security

 Console

 Details

Für mehr Informationen: 
https://support.google.com/chrome/answer/95617?visit_id=1-636221396724527190-3454695657&p=ui_security_indicator&rd=1

Zu Ihrer Information:

SHA-1 ist seit einem Jahrzehnt jeden Tag schwächer und unsicherer geworden Das ist gefährlich, wenn man bedenkt, dass wir Websites mit .__ eher vertrauen. "https: //" in ihren URLs. Andere Browser wie Mozilla Firefox und Microsoft Edge plant außerdem, die Unterstützung einzustellen, um Ermutigen Sie Website-Besitzer, auf sicherere SHA-2-Zertifikate umzusteigen so schnell es geht.

Wenn Sie es dringend tun müssen, müssen Sie zuerst alle laufenden Instanzen von Chrome schließen - sonst funktioniert es nicht.

chrome --args --ignore-certificate-errors

Bitte beachten Sie: Gehen Sie nicht Online-Banking oder Google Mail mit diesen Befehlszeileneinstellungen in Ihrer Chrome-Instanz. 

77
Stefan Steiger

Ich hatte kürzlich ein ähnliches Problem. Ich habe versucht, auf einen https REST -Endpunkt zuzugreifen, der ein selbstsigniertes Zertifikat hatte. Ich erhielt net::ERR_INSECURE_RESPONSE in der Google Chrome-Konsole. Ich habe ein bisschen im Internet gesucht, um diese Lösung zu finden, die für mich funktioniert hat:

  1. Öffnen Sie eine neue Registerkarte in demselben Fenster, in dem Sie den API-Aufruf ausführen möchten.
  2. Navigieren Sie zu der https-URL, auf die Sie programmgesteuert zugreifen möchten.
  3. Sie sollten einen Bildschirm sehen, der diesem ähnelt:  enter image description here
  4. Klicken Sie auf Erweitert> fahren Sie mit <url> fort und Sie sollten die Antwort sehen (falls vorhanden).
  5. Versuchen Sie jetzt, den API-Aufruf über Ihr Skript auszuführen.
64
Radium

Ich habe diese Fehlermeldung auf Amazon.ca, meetup.com und der Symantec-Homepage erhalten.

Ich habe die Aktualisierungsseite im Chrome-Browser aufgerufen (es war um 53. *) und habe nach einem Upgrade gesucht, und es wurde angezeigt, dass keine Updates verfügbar sind. Nachdem ich in meinem Büro nachgefragt hatte, stellte sich heraus, dass die neueste Version 55 war, aber ich war aus irgendeinem Grund auf 53 stecken geblieben.

Nach dem Upgrade (musste manuell von der Chrome-Website heruntergeladen werden) waren die Probleme weg!

2
james2doyle

Ein fehlendes Zwischenzertifikat könnte das Problem sein.

Sie können Ihren https: // hostname mit curl, openssl oder einer Website wie https://www.digicert.com/help/ überprüfen.

Keine Ahnung, warum Chrome (möglicherweise) Probleme hat, diese Zertifikate zu überprüfen.

2
Herri

Für mich war die Antwort hier auf StackOverflow verfügbar:

ERR_INSECURE_RESPONSE durch Änderung der Generierung von Fiddler-Stammzertifikaten mit CertEnroll für Windows 7 und höher verursacht

Leider kann diese Änderung zu Problemen für Benutzer führen, die über .__ verfügen. vertraute zuvor dem Fiddler-Stammzertifikat; Der Browser zeigt möglicherweise eine Fehlermeldung wie NET :: ERR_CERT_AUTHORITY_INVALID oder The Das Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

(Zitat aus der Originalquelle )

Ich hatte diesen Fehler ERR_CERT_AUTHORITY_INVALID im Browser und ERR_INSECURE_RESPONSE in den Entwicklertools von Chrome.

2
B Charles H

Möglicherweise sind Sie auf dieses Problem gestoßen: net :: ERR_INSECURE_RESPONSE

Sie müssen die von Ihrem Server unterstützten Verschlüsselungsalgorithmen überprüfen. Für Apache können Sie beispielsweise die Verschlüsselungssuite folgendermaßen konfigurieren: Verschlüsselungssuite .

Welche Chrome-Version verwenden Sie und auf welchem ​​Server werden Ihre APIs bereitgestellt?

1
pinturic

Ich hatte dieses Problem, als ich meine Cordova-App auf Android testete. Es ist einfach so, dass dieses Android-Gerät sein Datum nicht beibehält und irgendwie auf das Werksdatum zurückgesetzt wird. Die aufgerufene API hat ein Zertifikat, das ab diesem Jahr gültig ist, während das Gerätedatum nach dem Start im Jahr 2017 erfolgt. Im Moment muss ich adb Shell und das Datum manuell ändern.

0
Zaid

Ich weiß nicht, ob diese Frage mehr relevant ist, aber mir ist dies auf einem Client passiert, für den unter Windows eine falsche Datetime eingestellt war. Dies ist eine Alternative zu watch. Wenn dies der Fall ist, wird es auch auf anderen Browsern reproduziert (zumindest auf Firefox und Chrom).

Ich habe das Update von datetime unter Windows auf die tatsächliche datetime korrigiert.

0
Sergio A.