Chrome zwang ssl auf nicht ssl heroku Web-Anwendung

Question

Ich habe eine Anwendung auf Heroku ausgeführt, und eine DNS-cname Eintrag, der darauf zeigt. Sieht ungefähr so ​​aus:

one.nest.mysite.com --> one-nest-domain.herokuapp.com 

Wir haben auch eine andere Seite, die ssl, mit einem Zertifikat für *.mysite.com verwendet.

In Chrome 52 jetzt, wenn ich zu http://one.nest.mysite.com gehen (nicht https), erhalte ich zu https:// umleiten und Chrome warnt "Ihre Verbindung ist nicht privat, Angreifer könnte sein ..." usw.

I Ich glaube, ich verstehe die Warnung (*.mysite.com deckt nicht one.nest.mysite.com, aber warum ist https gezwungen? Ist dies irgendwo zwischengespeicherte Umleitung? Ich habe versucht, vollständig löschen meine Browserdaten, aber es passiert immer noch. Ich finde auch in Safari seine Arbeit gut ...

Und zuletzt, wenn ich gehe zu http://one-nest-domain.herokuapp.com (keine HTTPS), lädt die App gut ohne Umleitung.

Answer 1

So scheint es, dass unsere Konfiguration für unsere Hauptseite, nest.mysite.com, Subdomains beim Pinning von Zertifikaten enthielt. Nach dem Besuch von https://nest.mysite.com wurde das Zertifikat auf dem Client gespeichert und an Subdomänen angeheftet. Wenn Sie anschließend http://one.nest.mysite.com besuchen, wird dieses Zertifikat verwendet, wodurch ssl erzwungen wird und der Fehler verursacht wird.

Das Ausschließen von Subdomain-Pinning von unserer Hauptserverkonfiguration scheint behoben zu haben. Beachten Sie, dass die Benutzer https://nest.mysite.com besuchen müssen, um die SSL-Einstellungen zu aktualisieren, damit der Fix bereitgestellt wird, und dann http://one.nest.mysite.com wie erwartet funktionierte.

Hope das ist nützlich für jemand anderen. Vorbehalt: Ich bin kein Experte für SSL, also nehmen Sie meine Antwort mit einem Körnchen Salz.