Как зайти на сайт через HTTPS без SSL-сертификата для тестирования проекта

30.11.18 ИТ / Безопасность 20842
Бывает необходимо протестировать работу веб-приложения или сайта через HTTPS, особенно это актуально для разработки сайтов на локальном ПК. Тем более, что в настоящее время некоторые функции могут работать только через защищенное соединение и они отказываются передавать данные по обычному протоколу. Как это исправить, ведь на локальном ПК обычно нет сертификата, а тратить время на ручное создание сертификата и его установку захочет не каждый.

Решений, как зайти на сайт через HTTPS без SSL-сертификата, несколько — обычно необходимо добавить сайт без сертификата в исключения браузера. Рассмотрим самое простое и элементарное, которого должно хватить для тестирования большинства проектов. Достаточно при наборе адреса явно указать протокол https:// — в результате браузер сообщит, что подключение не защищено. На такой странице с сообщением браузера внизу обычно есть ссылка «Дополнительные», нажав на которую появится ссылка в самом низу – «Перейти на сайт (небезопасно)». После нажатия на эту ссылку сайт на некоторое время будет добавлен в исключения браузера и успешно откроется.
Хотя решение довольно простое и банальное, бывает, что не все пользователи догадываются о нем. Обычно на разных форумах и ресурсах, предлагается заняться созданием самоподписных сертификатов для локальных сайтов, что потребует отдельных усилий и времени. А используя такой простой способ в результате можно зайти на сайт без HTTPS и использовать практически все возможности защищенного соединения для тестирования проектов.
Обходим проверку сертификата SSL
В этом кратком обзоре я хотел бы поделиться своим опытом, как отключить проверку SSL для тестовых сайтов, иначе говоря, как сделать HTTPS сайты доступными для тестирования на локальных машинах.
В современное время https протокол становится все популярней, у него масса плюсов и достоинств, что хорошо. Правда для разработчиков он может вызывать легкий дискомфорт в процессе тестирования.
Всем известно, что при посещении сайта у которого “временно” что-то случилось c сертификатом вы обнаружите предупреждение, которое показывается, если сертификат безопасности не является доверенным net::ERR_CERT_AUTHORITY_INVALID?
Привет онлайн-кинотеатрам
Все современные браузеры показывают сообщение об ошибке HSTS
Что такое HSTS
HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками.
Самый простой способ обхода данного запрета — это, разумеется, нажатие на вкладку “Дополнительные” и согласиться с Небезопасным режимом.
Но не во всех браузерах как оказывается, есть данная возможность. Так я столкнулся с данной проблемой в Chrome на Mac OS
Разработчики данной операционной системы настолько обеспокоены безопасностью пользователей, что даже убрали доступ в «Небезопасном режиме» к сайту, несмотря на то, что это сайт владельца устройства.
Ну что ж, поскольку, вести разработку в других, более сговорчивых браузерах было не комфортно, вот способы как обойти эту проблему:
— Все хромоподобные браузеры (Chrome, Opera, Edge …) могут открыть небезопасную веб страницу, если на английской раскладке клавиатуры набрать фразу:
thisisunsafe
прямо на данной веб странице. Это даст возможность работать с сайтом без оповещение об ошибке на момент текущей сессии браузера, пока вы не закроете вкладку Chrome.
— Если же вам предстоит более длительная работа с сайтом, то рекомендую для этих нужд создать отдельного тестового пользователя на рабочем столе и указать ему необходимы флаги.
Для Windows
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —ignore-certificate-errors

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome —ignore-certificate-errors —ignore-urlfetcher-cert-requests &> /dev/null
Achtung! Данные манипуляции необходимо выполнять с выключенным Chrome приложением, иначе чуда не произойдет.
Если вы оставите сертификат ненадежным, то некоторые вещи не будут работать. Например, кэширование полностью игнорируется для ненадежных сертификатов.
Браузер напомнит, что вы находитесь в небезопасном режиме. Поэтому крайне не рекомендуется шастать по злачным сайтам Интернета с такими правами доступами.
*Так же есть метод с добавлением сертификатов тестируемого сайта в конфиги браузера Настройки->Безопасность->Настроить сертификаты->Импорт… но мне он показался не продуктивным и очень муторным, поэтому не привожу
Надеюсь моя краткая статья кому-то пригодится при разработке и тестировании сайтов =)
- ssl сертификаты
- ssl
- web-разработка
- безопасность сайтов
- https
- тестирование сайтов
- security
- google chrome
- Веб-разработка
- Google Chrome
- Браузеры
- Тестирование веб-сервисов
Браузер сообщает, что сайт ненадёжный – о чем это говорит?
Безопасность в Интернете – одна из наиболее острых проблем для пользователей всемирной паутины. Рядовое посещение веб-сайта может обернуться кражей данных, в том числе и банковских, установкой на пользовательское устройство шпионской программы или вовсе непоправимой порчей операционной системы.
Во избежание возникновения подобных проблем разработчики добавляют к функциям браузеров предупреждение для пользователей о недоверии к сайту или прямой угрозе, исходящей от него, поэтому при переходе на тот или иной сайт нередко можно увидеть кричащую надпись об опасности.

Обновлено: 2023-07-08 19:18:52 ДИ Дмитрий Ивашко автор материала
Что означает «ненадёжность» сайта?
Сайты используют принцип шифрования Secure Socket Layer (SSL), это удостоверение личности подлинного безопасного сайта. Современные браузеры допускают соединение с теми сайтами, у которых имеется актуальный SSL-сертификат, таким образом обеспечивая безопасность сёрфинга в Сети.

Переходя на ресурс, SSL-сертификат которого соответствует всем нормам, пользователь видит слева от адреса сайта в строке браузера значок закрытого замочка, который становится своеобразной гарантией безопасности и максимально возможной защиты.
Если браузер сообщает о том, что сайт ненадёжный, он в большинстве случаев имеет проблемы с шифрованием SSL, которые могут возникнуть по разным причинам:
- сертификат отсутствует или просрочен – получение SSL-сертификата требует финансовых вложений и соответствующего навыка со стороны разработчика сайта. Бывает владельцы сайтов не успевают своевременно обновить сертификат или вовсе не приобретают его, а значит не готовы убедить пользователей в собственной безопасности.
- сайт имеет новейшую версию сертификата – это не означает, что сайт опасен, просто браузер считает безопасными те интернет-ресурсы, которые используют в своей работе занесённые в его базу версии шифрования. Иными словами, сайт обновил сертификат, а разработчики браузера ещё не успели внести его в свою базу.
- истёк срок действия сертификата – подобная ситуация возникает при смене администратором сайта поставщика Интернет-услуг, вместе с ним изменяется URL или IP-адрес, при этом в соответствующей строке сертификации он не обновляется автоматически.
- устаревший браузер – современные браузеры поставляются со встроенными сертификатами, которые обновляются вместе с самой программой для комфортного веб-серфинга, вот и получается, что встроенный сертификат браузера слишком устаревает для перехода на сайт, который использует новую версию шифрования.
Замочек рядом с адресной строкой свидетельствует об использовании SSL-шифрования, также о том, что сайт защищён шифрованием, говорит и протокол https – именно буква S в конце.

Шифрование на интернет-ресурсах, использующих в своей работе протокол https, в большинстве случаев гарантирует, что мошенники не смогут:
- перехватить вводимые данные (пароли, номера банковских карт, личную информацию);
- перенаправить с легального домена на фальшивый (такую схему часто используют для кражи данных с помощью общедоступной сети Wi-Fi);
- полностью отследить цепочку перехода по страницам сайта (это означает, что можно отследить лишь главную страницу интернет-ресурса, который посетил пользователь, последующие переходы, в том числе, в личный кабинет, не сможет отследить даже провайдер).
Обратите внимание! Использование сайтом протокола https не приводит к более медленной работе интернет-ресурса по сравнению с применением протокола http, поскольку все современные браузеры уже достаточно давно применяют систему HTTP/2 для ускорения работы с сайтами, но её использование возможно только в сочетании с протоколом https. Получается, что пользоваться защищённым ресурсом не только безопаснее, но и быстрее.
Что делать, если сертификат сайта отсутствует?
Предупреждение браузера о ненадёжности сайта может быть вызвано внутренними проблемами шифрования интернет-ресурса или сбоем в работе операционной системы компьютера пользователя. Найти точную причину можно методом взаимоисключения, достаточно прояснить некоторые нюансы:
-
Проверить правильность указания даты и времени на компьютере или мобильном устройстве пользователя. При необходимости привести эти параметры к актуальному значению.


В том случае, если все перечисленные выше действия не привели к нужному результату, и браузер продолжает предупреждать о ненадёжности сайта, это может означать, что разработчики этого интернет-ресурса не позаботились о его шифровании.
Ответственность за переход на сайт без доверенного SSL-сертификата ложится на пользователя – возможно, владелец интернет-ресурса просто не успел обновить SSL до последней версии или не продлил срок его действия, но чаще всего подобный сайт может угрожать безопасности пользовательского устройства и сохранности его личных данных.
Обратите внимание! Если владелец устройства абсолютно уверен в безопасности сайта и ранее посещал его без каких-либо предупреждений, можно отключить функцию «Предупреждать о несоответствии сертификата» в настройках браузера, однако после посещения спорного ресурса рекомендуется вновь активировать подобные предупреждения.
Как защититься от «ненадёжных сайтов»?
Протокол https гарантирует безопасное соединение, но он не способен обеспечить абсолютную надёжность интернет-ресурса. Это связано с тем, что современные браузеры всё чаще запрещают доступ к сайтам, которые используют в своей работе протокол http, поэтому мошенникам и создателям различных фишинговых схем приходится приобретать SSL-сертификат для своих сайтов.
Кибер преступники придумали большое количество уловок, на которые пользователи попадаются, доверяя лишь заветному замочку в углу экрана. А ведь, чтобы не стать жертвой мошенников, необходимо:
-
Вводить персональные данные, логины и пароли на сайтах, в чьей благонадёжности пользователь действительно уверен. Для этого нужно проверить доменное имя и адрес ресурса с точностью до символа – подмена одной буквы чаще всего используется для создания сайта-клона;



Защита от ненадёжных интернет-сайтов совершенствуется с каждым обновлением современных браузеров, однако мошенники не дремлют, и зачастую им удаётся обмануть и антивирус, и встроенную систему безопасности браузера. Напрашивается вывод о том, что безопасность пользователя всемирной паутины – дело рук самого пользователя: чем внимательнее посетитель тех или иных интернет-ресурсов относится к их выбору, тем меньше шансов на то, что он станет жертвой киберпреступников.
Обходим проверку сертификата SSL
В этом кратком обзоре я хотел бы поделиться своим опытом, как отключить проверку SSL для тестовых сайтов, иначе говоря, как сделать HTTPS сайты доступными для тестирования на локальных машинах.
В современное время https протокол становится все популярней, у него масса плюсов и достоинств, что хорошо. Правда для разработчиков он может вызывать легкий дискомфорт в процессе тестирования.
Всем известно, что при посещении сайта у которого “временно” что-то случилось c сертификатом вы обнаружите предупреждение, которое показывается, если сертификат безопасности не является доверенным net::ERR_CERT_AUTHORITY_INVALID?
Привет онлайн-кинотеатрам
Все современные браузеры показывают сообщение об ошибке HSTS
Что такое HSTS
HSTS (HTTP Strict Transport Security) — это механизм защиты от даунгрейд-атак на TLS, указывающий браузеру всегда использовать TLS для сайтов с соответствующими политиками.
Самый простой способ обхода данного запрета — это, разумеется, нажатие на вкладку “Дополнительные” и согласиться с Небезопасным режимом.
Но не во всех браузерах как оказывается, есть данная возможность. Так я столкнулся с данной проблемой в Chrome на Mac OS
Разработчики данной операционной системы настолько обеспокоены безопасностью пользователей, что даже убрали доступ в «Небезопасном режиме» к сайту, несмотря на то, что это сайт владельца устройства.
Ну что ж, поскольку, вести разработку в других, более сговорчивых браузерах было не комфортно, вот способы как обойти эту проблему:
— Все хромоподобные браузеры (Chrome, Opera, Edge …) могут открыть небезопасную веб страницу, если на английской раскладке клавиатуры набрать фразу:
thisisunsafe
прямо на данной веб странице. Это даст возможность работать с сайтом без оповещение об ошибке на момент текущей сессии браузера, пока вы не закроете вкладку Chrome.
— Если же вам предстоит более длительная работа с сайтом, то рекомендую для этих нужд создать отдельного тестового пользователя на рабочем столе и указать ему необходимы флаги.
Для Windows
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe» —ignore-certificate-errors

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome —ignore-certificate-errors —ignore-urlfetcher-cert-requests &> /dev/null
Achtung! Данные манипуляции необходимо выполнять с выключенным Chrome приложением, иначе чуда не произойдет.
Если вы оставите сертификат ненадежным, то некоторые вещи не будут работать. Например, кэширование полностью игнорируется для ненадежных сертификатов.
Браузер напомнит, что вы находитесь в небезопасном режиме. По этому крайне не рекомендуется шастать по злачным сайтам Интернета с такими правами доступами.
*Так же есть метод с добавлением сертификатов тестируемого сайта в конфиги браузера Настройки->Безопасность->Настроить сертификаты->Импорт… но мне он показался не продуктивным и очень муторным, поэтому не привожу
Надеюсь моя краткая статья кому-то пригодится при разработке и тестировании сайтов =)