Dépanner les erreurs de certificat racine Umbrella lors de l'utilisation de Chrome sous Windows

Introduction

Ce document décrit comment dépanner et résoudre les erreurs de certificat racine Umbrella pour *cisco.com lorsque vous utilisez Chrome sous Windows.

Aperçu

Nous avons maintenant une solution plus gérable et plus durable pour ce problème qui s'applique à tous les sites. Bien que les informations fournies ici restent pertinentes, nous vous suggérons d'explorer le correctif permanent en installant l'autorité de certification racine Cisco, comme détaillé dans cet article :

https://docs.umbrella.com/deployment-umbrella/docs/rebrand-cisco-certificate-import-information

Cette page sert de guide lorsqu'une erreur de certificat pour *.cisco.com apparaît dans Chrome (pour Windows), mais qu'il n'est pas possible de la contourner en ajoutant une exception de certificat.

La cause de ce message est l'implémentation de HTTP Strict Transport Security (HSTS) ou du certificat préchargé Pinning dans les navigateurs modernes qui améliore leur sécurité globale. Cette sécurité supplémentaire pour les pages HTTPS empêche la page de blocage Umbrella et le mécanisme de page de blocage de contournement de fonctionner lorsque HSTS est actif pour un site Web. Pour plus d'informations sur HSTS, veuillez vous reporter à cet article. 

Remarque : En raison des modifications apportées à HSTS, le système BPB (Block Page Bypass) ne fonctionne pas avec certains sites en raison d'erreurs de certificat non contournables. Afin de permettre à ces sites de travailler avec BPB dans Chrome (pour Windows), vous devez utiliser un commutateur spécial lors du démarrage du navigateur. Certains sites communs qui ne fonctionnent pas avec BPBin Chrome comprennent : Facebook, Google Sites tels que Gmail et YouTube, Dropbox et Twitter. Pour une liste complète des sites, veuillez lire ici.

Sans désactiver les vérifications de certificat Chrome, les tentatives d'utilisation du contournement de page de blocage avec l'un des sites de cette liste protégée échouent, comme illustré.

Désactivation des vérifications de certificat Chrome (Windows uniquement)

Pour forcer Chrome à ignorer ces erreurs, vous devez définir votre raccourci pour Chrome pour lancer l'application avec ce commutateur :

--ignore-certificate-errors

Notez que Google peut choisir de supprimer cette fonctionnalité à tout moment et donc il est seulement recommandé tant qu'il est disponible :

Pour ajouter cet indicateur de ligne de commande à Chrome, cliquez avec le bouton droit sur le raccourci de l'icône Chrome, sélectionnez "Propriétés" et l'ajouter à la et en sélectionnant "Propriétés", puis l'ajouter à la cible comme indiqué ici :

Une fois cet indicateur ajouté, vous pouvez utiliser BPB normalement sur les sites de la liste HSTS préchargée pour pouvoir les contourner. 

Dans cet exemple, bien que twitter.com soit sur la liste HSTS préchargée, en ignorant l'avertissement de certificat, nous pouvons utiliser l'option Block Page Bypass telle que conçue.