Chrome HSTS異常導(dǎo)致無法訪問HTTPS網(wǎng)頁

今天小伙伴突然告訴我，他的電腦上打不開網(wǎng)頁了，然后把以下截圖給我發(fā)了過來：

了解到他是用shadowsocks訪問谷歌的時候網(wǎng)頁打不開，之前是都是OK的。簡單讓他做了下網(wǎng)絡(luò)連通性測試：ping域名，telnet網(wǎng)站的80和443端口，發(fā)現(xiàn)網(wǎng)絡(luò)是OK的。然后仔細(xì)看了下他的報(bào)錯信息：
NET::ERR_CERT_COMMON_NAME_INVALID，詳情頁里可以看到是“因?yàn)榇司W(wǎng)站使用了HSTS”，于是讓他嘗試清理下Chrome上HSTS安全設(shè)置策略，清理后恢復(fù)正常，具體操作如下：
在Chrome瀏覽器中輸入：chrome://net-internals/#hsts:

找到相應(yīng)的"delete domain security policies",輸入訪問有問題的網(wǎng)站域名，然后點(diǎn)擊刪除（delete）：

找到"Query HSTS/PKP domain"，輸入剛才刪除的域名，查詢結(jié)果返回“Not Found”,代表已經(jīng)刪除成功：

之后再重新訪問之前的頁面，此時網(wǎng)頁能夠正常打開。
問題雖然已經(jīng)解決，那么我們本著知其然，且知其所以然的原則，我們總結(jié)一下：
報(bào)錯是HSTS的問題，那么我們嘗試清理HSTS的設(shè)定，重新獲取一下即可。那么什么是HSTS呢：
HSTS is HTTP Strict Transport Security: a way for sites to elect to always use HTTPS. See https://www.chromium.org/hsts, 是國際互聯(lián)網(wǎng)工程組織IETF正在推行一種新的Web安全協(xié)議，HSTS的作用是強(qiáng)制客戶端（如瀏覽器）使用HTTPS與服務(wù)器創(chuàng)建連接。
采用HSTS協(xié)議的網(wǎng)站將保證瀏覽器始終連接到該網(wǎng)站的HTTPS加密版本，不需要用戶手動在URL地址欄中輸入加密地址。
該協(xié)議將幫助網(wǎng)站采用全局加密，用戶看到的就是該網(wǎng)站的安全版本。
HSTS的作用是強(qiáng)制客戶端（如瀏覽器）使用HTTPS與服務(wù)器創(chuàng)建連接。服務(wù)器開啟HSTS的方法是，當(dāng)客戶端通過HTTPS發(fā)出請求時，在服務(wù)器返回的超文本傳輸協(xié)議響應(yīng)頭中包含Strict-Transport-Security字段。非加密傳輸時設(shè)置的HSTS字段無效。
比如，https://xxx 的響應(yīng)頭含有Strict-Transport-Security: max-age=31536000; includeSubDomains。這意味著兩點(diǎn)：
在接下來的一年（即31536000秒）中，瀏覽器只要向xxx或其子域名發(fā)送HTTP請求時，必須采用HTTPS來發(fā)起連接。比如，用戶點(diǎn)擊超鏈接或在地址欄輸入 http://xxx/ ，瀏覽器應(yīng)當(dāng)自動將 http 轉(zhuǎn)寫成 https，然后直接向 https://xxx/ 發(fā)送請求。
在接下來的一年中，如果 xxx 服務(wù)器發(fā)送的TLS證書無效，用戶不能忽略瀏覽器警告繼續(xù)訪問網(wǎng)站。
進(jìn)入瀏覽器的inspeck模式，我們可以看到Response Headers如下：

小伙伴的電腦很可能是因某些原因?qū)е麓L問網(wǎng)站的HSTS失效了，所以清理之后，重新認(rèn)證一下即恢復(fù)正常。