Domena Google .dev dziwnie przekierowuje na https

19

Kupiłem dziś domenę .dev @ domains.google. Skonfigurowałem także dedykowany serwer WWW Nginx, na który wskazuje domena .dev (rekordy A).

Co dziwne, nie mogę uzyskać dostępu do mojej strony powitalnej nginx przy użyciu mojej example.devdomeny, ponieważ z jakiegoś dziwnego powodu jestem przekierowywany, do https://example.devktórego następnie się nie udaje (nie można ustanowić połączenia z moim serwerem http). Jednak każda inna domena wskazująca ten nowy serwer działa poprawnie. Jak example.compo prostu działa. Nie skonfigurowałem NIC o Nginxie, po prostu go zainstalowałem (konfiguracja demo wykonuje to zadanie). Oczywiście ma to coś wspólnego z Google jako rejestratorem. OK - więc skontaktuję się z pomocą Google, prawda? Tak. Zrobiłem to jednak, powiedzieli mi, że to jest coś, z czym muszę sobie poradzić i zawsze odnosząc się do „skontaktuj się z hostem” (co nie jest zbyt dobrą radą, ponieważ jestem gospodarzem).

Próbowałem wszystkiego w konsoli Google, ale nie mogę go uruchomić. Wsparcie Google było bardzo, bardzo rozczarowujące i mam nadzieję, że zobaczę kilka rozwiązań tego problemu.

google nginx debian google-domains Jasio
źródło

Odpowiedzi:

44

.devdomeny to tylko HTTPS. To nie jest przekierowanie. Jest to wstępne obciążenie HSTS.

HSTS to technologia, która pozwala domenom zadeklarować, że są one tylko HTTPS. Ma to na celu złagodzenie ataków obniżających protokół. Przy pierwszej wizycie w witrynie, która chce korzystać z HSTS, dostajesz nagłówek, który uniemożliwia ci kiedykolwiek odwiedzanie tej domeny na HTTP.

Lista wstępnego ładowania HSTS jest wbudowana w przeglądarki internetowe, dzięki czemu przeglądarka wie, że witryna jest tylko HTTPS, nawet przed pierwszą wizytą. Jeśli witryna znajduje się na liście wstępnego ładowania HSTS, nigdy nie będzie można uzyskać do niej dostępu przez HTTP w tej przeglądarce, tylko przez HTTPS.

Google umieściło całą .devdomenę najwyższego poziomu na liście wstępnego ładowania HSTS . Oznacza to, że żadna .devdomena nigdy nie będzie mogła działać jako witryna HTTP.

Podczas rejestracji .devdomeny rejestr Google powiedział Ci o tym na pierwszej stronie w sekcji „Korzyści bezpieczeństwa”:

Zbuduj bezpieczeństwo

Twoje bezpieczeństwo jest naszym priorytetem. Domena najwyższego poziomu .dev znajduje się na liście wstępnego ładowania HSTS, co powoduje, że HTTPS jest wymagany na wszystkich połączeniach ze stronami i stronami .dev bez konieczności indywidualnej rejestracji lub konfiguracji HSTS. Bezpieczeństwo jest wbudowane.

Obecnie tylko Firefox i Chrome obsługują to wstępne ładowanie HSTS. Jeśli chcesz mieć możliwość przetestowania swojej witryny przed skonfigurowaniem HTTPS, możesz użyć innej przeglądarki. Możesz także być w stanie zmodyfikować ustawienia przeglądarki, aby wyłączyć HSTS .

Ze względu na wstępne ładowanie HSTS musisz uruchomić swoją .devdomenę na serwerze HTTPS, aby użytkownicy mieli do niej dostęp.

Stephen Ostermiller
źródło
2
Otóż ​​to. Musiałem przeoczyć tę informację, a zespół wsparcia nie przypomniałby mi o tym fakcie (choć wydaje mi się oczywiste, że brakowało mi dokładnie tych informacji).
Johnny
8
Tak, wsparcie powinno być w stanie ci to powiedzieć.
Stephen Ostermiller
4
@Johnny btw, możesz być zainteresowany Let's Encrypt: letsencrypt.org
Ave
1
Kolejna utworzona przez Google TLD, .appto także przestrzeń nazw tylko HTTPS. Strzec się.
Alex Jone
4
W przypadku domen deweloperskich dwie zarezerwowane to * .test i * .localhost. Są w pełni zastrzeżone, więc nigdy nie zostaną przejęte jako prawdziwe domeny TLD. * .localhost jest naprawdę fajny, jeśli przeprowadzasz testy hosta lokalnego, ponieważ możesz korzystać z wielu usług, tak jak w przypadku innych TLD, i nadal mapuje się na 127.0.0.1. * .test jest przeznaczony do wszelkich rzeczy związanych z dns, więc jeśli potrzebujesz mapować na adresy IP maszyn wirtualnych lub coś takiego, to jest twoje zadanie. Ostatnio jestem wielkim fanem * .localhost z kontenerami dokerów, ponieważ i tak odwzorowuję odwrotne proxy na 127.0.0.1. Nie wymaga lokalnych dns ani / etc / hosts shenanigans.
superlinkx