Solucionar erros de certificado raiz Umbrella ao usar o Chrome no Windows

Introdução

Este documento descreve como solucionar problemas e resolver erros de certificado raiz Umbrella para *cisco.com ao usar o Chrome no Windows.

Overview

Agora temos uma solução mais gerenciável e duradoura para esse problema que se aplica a todos os locais. Embora as informações fornecidas aqui permaneçam relevantes, sugerimos explorar a correção permanente instalando a CA raiz da Cisco, conforme detalhado neste artigo:

https://docs.umbrella.com/deployment-umbrella/docs/rebrand-cisco-certificate-import-information

Esta página é um guia para quando um erro de certificado para *.cisco.com aparece no Chrome (para Windows), mas não pode ser ignorado adicionando uma exceção de certificado.

A causa dessa mensagem é a implementação do HTTP Strict Transport Security (HSTS) ou preloaded Certificate Pinning em navegadores modernos, o que melhora sua segurança geral. Essa segurança extra para páginas HTTPS impede que a página de bloqueio do Umbrella e o mecanismo de página de bloqueio de desvio funcionem quando o HSTS estiver ativo para um site. Para obter mais informações sobre o HSTS, consulte este artigo. 

Note: Devido a alterações no HSTS, o sistema Block Page Bypass (BPB) não funciona com determinados sites devido a erros de certificado que não podem ser ignorados. Para permitir que esses sites funcionem com o BPB no Chrome (para Windows), você deve usar um switch especial ao iniciar o navegador. Alguns sites comuns que não funcionam com o BPBin Chrome incluem: Facebook, Google Sites como Gmail e YouTube, Dropbox e Twitter. Para obter uma lista completa de sites, leia aqui.

Sem desabilitar as Verificações de Certificado do Chrome, as tentativas de usar o Desvio de Página de Bloqueio com qualquer um dos sites nesta lista protegida falham, como mostrado.

Desabilitando Verificações de Certificado do Chrome (somente Windows)

Para forçar o Chrome a ignorar esses erros, você precisa definir seu atalho para o Chrome iniciar o aplicativo com este switch:

--ignore-certificate-errors

Observe que o Google pode optar por remover esse recurso a qualquer momento e, portanto, ele só é recomendado enquanto estiver disponível:

Para adicionar esse sinalizador de linha de comando ao Chrome, clique com o botão direito do mouse no atalho do ícone do Chrome, selecione "Propriedades" e adicione-o ao e selecione "Propriedades", depois adicione-o ao Destino como mostrado aqui:

Depois que esse sinalizador for adicionado, você poderá usar o BPB normalmente nos sites da lista de HSTS pré-carregados para poder ignorá-los. 

Neste exemplo, embora twitter.com esteja na lista pré-carregada de HSTS, ignorando o aviso de certificado, podemos usar o Bloquear desvio de página como projetado.