HTTPS和Basic Auth

Question

我已经在我的家庭服务器上建立了一个NGINX反向代理，使用来自我的网站'stuff.mydomain.com‘的动态DNS以及一个来自letsencrypt的证书。我使用basic auth对用户进行身份验证。

当我进入域并弹出身份验证框时，chrome并不表示连接是安全的(我得到了"Info或connection“'i‘符号)。如果我登录或单击“取消”，它将立即变成绿色锁符号，并保持不变。

这是它的工作方式，还是我搞砸了设置和传输登录信息未加密？

编辑:当我为URL输入https://时，也会发生同样的情况。有什么想法吗？

编辑2:在和wireshark混了一段时间之后，我很确定所有的东西都是加密的(我在URL栏中检查了http和https )。我还是不知道是什么原因导致铬显示它是不安全的。

Answer 1

反应较晚，但这是Chrome中一个长期存在的缺陷.Chrome在显示基本的auth对话框之前不会更新地址栏中的安全指示符(尽管它确实正确地验证了安全性，因此过期的证书被正确标记)。

https://bugs.chromium.org/p/chromium/issues/detail?id=700748 https://bugs.chromium.org/p/chromium/issues/detail?id=667021 (另见395050)

Answer 2

身份验证请求很可能发生在重定向之前。如果您输入您的凭据，它们可能会以明文发送，然后您将被重定向到HTTPS。

您可以很容易地检查您是否发送未经加密的凭据(如wireshark )。

如果您这样做了，您应该要么在浏览器中输入HTTPS (可能会忘记这不是最好的方法)，要么使用HSTS自动强制HTTPS，或者重新配置您的服务器(例如阻止通过HTTP进行所有访问)。