Google .dev domain anehnya mengalihkan ke https

Saya membeli domain .dev hari ini @ domains.google. Saya juga menyiapkan server web nginx khusus tempat domain .dev menunjuk (catatan A).

Sangat aneh, saya tidak dapat mengakses halaman selamat datang nginx saya menggunakan example.devdomain saya , karena untuk beberapa alasan aneh saya dialihkan ke https://example.devyang kemudian gagal (tidak ada koneksi ke server web http saya dapat dibuat). Namun, domain lain yang menunjuk ke server baru ini berfungsi dengan benar. Seperti example.comhanya bekerja. Saya tidak mengkonfigurasi APA SAJA tentang nginx, hanya menginstalnya (konfigurasi demo melakukan pekerjaan). Cukup jelas, ini ada hubungannya dengan Google sebagai pendaftar. OK - jadi saya akan menghubungi dukungan Google, kan? Iya nih. Saya melakukan itu, namun, mereka mengatakan kepada saya bahwa ini adalah sesuatu yang perlu saya tangani di sisi saya dan selalu mengacu pada 'hubungi host web Anda' (yang tidak terlalu banyak nasihat karena saya adalah host).

Saya mencoba semuanya di konsol Google, tetapi saya tidak bisa membuatnya berfungsi. Dukungan Google sangat, sangat mengecewakan dan saya sekarang berharap untuk melihat beberapa resolusi tentang masalah ini.

— Johnny
sumber

.devdomain hanya HTTPS. Itu bukan redirect. Ini adalah preload HSTS.

HSTS adalah teknologi yang memungkinkan domain menyatakan bahwa mereka hanya HTTPS. Ini dimaksudkan untuk mengurangi serangan downgrade protokol. Pertama kali Anda mengunjungi situs yang ingin menggunakan HSTS, Anda mendapatkan tajuk yang mencegah Anda mengunjungi domain itu menggunakan HTTP.

Daftar pra-muat HSTS dibuat di browser web sehingga browser mengetahui situs hanya HTTPS, bahkan sebelum kunjungan pertama. Jika sebuah situs ada dalam daftar preload HSTS, itu tidak akan pernah bisa diakses melalui HTTP di browser itu, hanya melalui HTTPS.

Google telah menempatkan seluruh .devdomain tingkat atas pada daftar preload HSTS . Itu berarti bahwa tidak ada .devdomain yang dapat dijalankan sebagai situs HTTP.

Ketika Anda mendaftarkan .devdomain Anda , registri Google memberi tahu Anda ini di halaman depan di bawah bagian "Manfaat Keamanan":

Bangun keamanan

Keamanan Anda adalah prioritas kami. Domain tingkat atas .dev termasuk dalam daftar preload HSTS, membuat HTTPS diperlukan pada semua koneksi ke situs web dan halaman .dev tanpa memerlukan pendaftaran atau konfigurasi HSTS individual. Keamanan sudah terpasang.

Saat ini hanya Firefox dan Chrome yang mendukung preload HSTS ini. Jika Anda ingin dapat menguji situs Anda sebelum mengatur HTTPS, Anda bisa menggunakan browser lain. Anda juga mungkin dapat memodifikasi pengaturan browser Anda untuk menonaktifkan HSTS .

Karena preload HSTS, Anda perlu menjalankan .devdomain Anda di server HTTPS sehingga pengguna dapat mengaksesnya.

— Stephen Ostermiller
sumber

Itu dia. Saya pasti melewatkan informasi ini, dan tim pendukung tidak akan mengingatkan saya pada fakta ini lagi (walaupun saya pikir itu sangat jelas saya kehilangan informasi ini).

— Johnny

Ya, dukungan seharusnya bisa memberi tahu Anda hal ini.

— Stephen Ostermiller

@Johnny btw, Anda mungkin tertarik pada Let's Encrypt: letsencrypt.org

— Ave

TLD yang dibuat Google lainnya .app,, juga merupakan namespace khusus HTTPS. Waspadalah.

— Alex Jone

Untuk domain dev, dua yang dicadangkan adalah * .test dan * .localhost. Mereka sepenuhnya dilindungi undang-undang, jadi tidak akan pernah diambil alih sebagai TLD nyata. * .localhost sebenarnya sangat bagus jika Anda melakukan pengujian localhost, karena Anda dapat menggunakan beberapa layanan seperti yang Anda lakukan dengan TLD lainnya, dan masih dipetakan ke 127.0.0.1. * .test dimaksudkan untuk hal-hal terkait dns, jadi jika Anda perlu memetakan ke IP mesin virtual atau sesuatu, itulah tujuan Anda. Akhir-akhir ini saya telah menjadi penggemar berat * .localhost dengan wadah buruh pelabuhan, karena saya memetakan proxy sebaliknya ke 127.0.0.1. Tidak memerlukan dns lokal atau / etc / hosts shenanigans.

— superlinkx