2025年2月6日更新
过了个春节,还是会时不时出现“你的连接不是专用连接”的错误,尤其是在不带www的域名时就会出现。比如,输入mindseed.cn时按理说应该会通过301重定向到www.mindseed.cn,但浏览器就是提示错误。而这种情况在火狐浏览器上却是正常的。
调整了N次的nginx配置,也重新生成了多次证书,还是一样的问题。
结果发现是之前申请证书时通过DNS方式,将www和非www分开申请了,所以两个域名的证书不一样。
重新查看acme.sh的文档(也可参见本站文章《使用acme脚本申请免费ssl证书》)发现,应该将将两个同时申请:
acme.sh --issue -d mindseed.cn -d www.mindseed.cn -w /home/wwwroot/mindseed.cn/
至此,问题解决。
2024年12月28日原文
测试ssl证书的时候,因为反复使用了不同的域名证书,并且在带www和非www的域名中来回切换,结果悲剧了,网页显示:
你的连接不是专用连接
你目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常。
如下图所示(这是Edge的显示内容,Chrome基本也差不多):
关于HSTS的解释就借用网上的内容:
HTTP 严格传输安全 (HSTS) 是一种网络安全策略机制,可帮助保护网站免受协议降级攻击和 Cookie 劫持。它允许网络服务器声明网络浏览器(或其他符合要求的用户代理)应仅使用安全的 HTTPS 连接与其交互,而绝不能通过不安全的 HTTP 协议与其交互。
大致意思就是网站必须通过HTTPS进行连接,同时还要有安全的SSL证书,否则就会被阻止浏览。当浏览器不信任这些证书时,为了安全起见,会直接禁止访问。像我这种情况,因为证书是我自己申请的,并且刚刚通过不存在时效性的问题,也确认没有任何问题,所以要么就如提示所说的那样,耐心等待一段时间,要么就通过以下的方法。
如果访问非信任CA签发证书的网站时,一般浏览器都会提示你的连接不是专用连接或是私密连接,且无法进入。此时,只需要用键盘输入“thisisunsafe'”即可正常进入。
首先,将输入法调整为英文,点击页面中的刷新按钮,等页面刷新过后,鼠标点击页面上的任何位置,并用键盘直接输入:thisisunsafe即可(不是在地址栏中输入,直接在页面盲打),页面会自动刷新,然后就可以正常访问了。
当然,还可以通过修改浏览器的设置忽略或删除特定网站的证书问题,比如在谷歌浏览器地址栏中输入chrome://net-internals/#hsts(Edge的地址为edge://net-internals/#hsts,但输入chrome它会自动重定向到edge),并在Delete domain security policies下的文本框中输入你想要解决问题的网站地址。如下图:
如果要确认是否删除成功,可以在Query HSTS/PKP domain下的文本框中输入刚才的域名地址,如果返回“Not Found”就代表已经删除成功。
这些方法都只是暂时解决浏览问题,如果作为站长,还是要从根源上即如何正确配置证书入手。
还有一种就是将浏览器的安全设置彻底禁用,并不提倡,对浏览其他不安全网站会有影响,就不做介绍了。
