谷歌浏览器不安全的连接牵扯的系统缺陷

一、现象

大家都知道，对于https私有证书，浏览器在打开网页时会提示，与该网站的连接不是私密连接。此时我们可以选择高级–>继续前往该网站，以让浏览器暂时信任该网站：

点击信任后，在浏览器地址栏边上会出现如下提示：

表示浏览器已经选择暂时信任（屏蔽安全警告）该网站了，你在一段时间内，继续访问该网站，不需要再做如上的操作。

现在问题来了：在BS架构的系统中，客户反馈概率出现网站点击无反应，数据请求异常的情况。刷新后就会再次出现您的连接不是私密连接的提示，点击继续前往后，一切又恢复正常。后来在控制台日志发现，在刷新前，所有的请求都是failed:，且报了如下net::ERR_CERT_AUTHORITY_INVALID的错误。

二、分析

出了上面的问题，一看就是没有颁发公有证书导致的问题。让客户去申请明显已经不可能，对于这种问题，详细的原因和解决方案可以参考这里。

对于上面的现象，明显猜想是由于浏览器不再信任该网站了，导致该客户端发起的任何rest请求都会被浏览器block在客户端，根本没到服务器。但是具体是什么原因导致了这种情况呢？根据上篇文章，排除掉客户端时钟问题等几个不可能的方向，猜想2个方向：

浏览器信任过期
网络波动或者服务端证书重置

由于本地测试网络波动（路由重置、ip变化）并不能在本地复现，所以我们猜测是由于浏览器信任过期导致。也就是说，浏览器有一个信任周期，超出信任周期后，所有的请求会被Block,客户正好在操作系统的时候遭到了block;

这个时间具体是多少？经过查询资料以及结合实践，得出这个时间默认是7天。老版本的谷歌浏览器支持通过配置项修改时间：

Copy the following link into your Google Chrome browser:

chrome://flags/#remember-cert-error-decisions

Following the link, you directly get to the settings

Remember decisions to proceed through SSL errors for a specified
length of time. Google Chrome Settings for SSL Errors

In the drop-down menu, choose the time period for which you want Google Chrome to stop showing the security warning.Google Chrome Setting Options for SSL Errors For example, if you choose Remember for three months, Google Chrome will not show the certificate security warning again for three months when you connect to the server on which PRTG is running or to another server with a self-signed certificate.

但是新版本的我看了下都没有。但是这个时间经过研究是实实在在的记录在谷歌浏览器的配置文件夹内的:

C:\Users\xxx\AppData\Local\Google\Chrome\User Data\Default\Preferences

  "ssl_cert_decisions": {"https://xxxxxx:443,*": {"expiration": "0","last_modified": "13268214663616409","model": 0,"setting": {"cert_exceptions_map": {"-202CLN9JUznFRNVYEX3cEHxRuuOAgo/gbTuHj1zRmwjSbY=": 1},"decision_expiration_time": "13268819463616396","version": 1}}},

其中last_modified即为你信任网站（点击继续前往）的时间，而decision_expiration_time就是这次信任过期的时间。经过测算，这个时间差正好是7天。但是现在的配置项没有提供浏览器页面上的更改，所以我们修改这个时间，只能是关闭浏览器后尝试。在信任一次后，修改过期时间为5min后，成功复现了上面的问题。终于可以拿这个回复了~

参考文章：

https://kb.paessler.com/en/topic/63157-how-can-i-stop-google-chrome-showing-me-a-connection-not-private-message
https://kinsta.com/knowledgebase/neterr-cert-authority-invalid/
https://blog.csdn.net/weixin_44137706/article/details/105577490