Browser zeurt over HSTS op lokale webserver

Ik heb geen idee of ik het probleem nou bij Windows moet zoeken of bij Firefox. Maar ik zit nu echt even met mijn handen in het haar.

Voor het gemak ontwikkel ik mijn webprojecten altijd op een eigen aangemaakte domeintje in het hosts-bestand van Windows. In de vhosts van Apache wordt deze domein netjes afgevangen en naar de juiste directory gebracht, echter tot op de dag van vandaag.

Hoe het gekomen is, dat weet ik niet exact, maar mijn browsers (Firefox, Chrome, Edge) weigeren nu dus mijn site op mijnsite.dev te openen, en ik krijg vrolijk deze melding in Firefox:

Uw verbinding is niet beveiligd

De eigenaar van www.mijnsite.dev heeft zijn of haar website niet juist geconfigureerd. Om uw gegevens tegen diefstal te beschermen, heeft Firefox geen verbinding met deze website gemaakt.

Deze website maakt gebruik van HTTP Strict Transport Security (HSTS) om aan te geven dat Firefox alleen een beveiligde verbinding mag maken. Hierdoor is het niet mogelijk om een uitzondering voor dit certificaat toe te voegen.

Ik bepaal zelf graag dat ik lokaal (!) een lokaal SSL-certificaat wil draaien. Hoe kan ik nou een uitzondering maken, of beter gezegd: Hoe kan ik Windows weer overtuigen dat hij niet zo paranoia moet zijn om dit te vertrouwen?

Ik verdenk dat Avast iets in Windows heeft aangepast, want sinds medio deze week toen ik het installeerde merk ik vandaag dat ik mijn lokale site niet meer kan bereiken. Of het Avast is, dat weet ik niet, maar de belangrijkste vraag is:

Hoe krijg ik dit weer werkend? Avast heb ik al uitgeschakeld, gedeinstalleerd etc....
En het probleem blijft, en ik kan nu dus niet werken

Ik zou niet weten hoe die header erin komt. Ik heb die niet toegevoegd.
Ook op een domein waar ik geen SSL op gebruik op mijn lokale server krijg ik dit gedoe..

MAX3400 schreef op zondag 18 maart 2018 @ 19:58:
Kijk eens of je https://linux-audit.com/c...rt-security-apache-nginx/ kan "reverse enigineeren"

Wil ik best wel doen, maar dat wordt lastig als er niks aan mijn webserver configuratie is aangepast.

Maar ik blijf het vreemd vinden dat dit ook gebeurt met een lokaal domein die geen https heeft.
Die wordt om vage redenen nu wel steeds naar https:// geleid....

Oh my, zou best wel eens kunnen

Nou je het zegt, ik had al iets erover gelezen. Maar dan is het wel sinds kort in Firefox.
Weten we in ieder geval dat het niet aan de headers ligt in de Vhost.

[ Voor 21% gewijzigd door AW_Bos op 18-03-2018 20:10 ]

MAX3400 schreef op zondag 18 maart 2018 @ 20:11:
[...]

Dan heb je ook sinds kort Firefox geupdate? Neem toch aan dat je sindsdien het issue hebt en/of een rollback hebt geprobeerd?

Dat gaat blijkbaar automagisch, over die updates bekommer ik me niet.

En ik verdacht eerst Avast. maar dat is nu blijkbaar een onterrechte verdenking.
Vanmiddag viel het mij pas op. Terwijl het gisteren nog werkte.

Ik ga anders maar eens een andere TLD gebruiken.

[ Voor 28% gewijzigd door AW_Bos op 18-03-2018 20:14 ]

Thnx, voor de move ;-)

Ik ga dan maar .test gebruiken. Kijken of dat wel zal werken.

Tenzij je het op Automatically hebt staan .

[ Voor 12% gewijzigd door AW_Bos op 18-03-2018 20:16 ]

Ik heb nu .test ingesteld als domain. maar ook hier dezelfde problemen
Waar komt deze ellende toch vandaan?

Edit:
Ooh wel, nu heb ik wel een knop voor uitzonderen!

KliK!

Hij werkt weer

.dev was het hele probleem
Fixxed

[ Voor 57% gewijzigd door AW_Bos op 18-03-2018 20:25 ]

Voor zover ik weet heb ik geen verwijzingen meer. Maar daar zou het niet aan liggen.
Een van mijn lokale domeinen gebruikt geen SSL, maar werd wel gedwongen. En ook bijzonder en raar dat je voor .dev geen uitzonderingen mag maken. Rare besluiten daar bij die browserbouwers

En dit grapje heeft mij al weer 4 uur gekost, plus dat ik zelfs XAMPP nog eens uit wanhoop gemold had...

Anyway, ik ben weer een blije developer die weer aan het werk kan

Trouwens, een vriend van me meldt ook dat hij gisteren al 45 minuten aan het uitzoeken was waar die HSTS-rule vandaan kwam. Blijkbaar is het recent keihard gepushed naar iedereen.

Nou ja, een voordeel. Ik kan kijken of mijn nieuwe webapplicatie nu een hostnamewijziging heeft overleefd.

[ Voor 26% gewijzigd door AW_Bos op 18-03-2018 23:05 ]