O domínio .dev do Google redireciona estranhamente para https

19

Comprei um domínio .dev hoje em @ domains.google. Também configurei um servidor da web nginx dedicado para o qual o domínio .dev aponta (registros A).

Muito estranhamente, não consigo acessar minha página de boas-vindas do nginx usando o meu example.devdomínio, porque, por algum motivo estranho, sou redirecionado para o https://example.devqual falha (não é possível estabelecer nenhuma conexão com o meu servidor http). No entanto, qualquer outro domínio apontando para esse novo servidor funciona corretamente. Como example.comapenas funciona. Não configurei nada sobre o nginx, apenas o instalei (a configuração da demo faz o trabalho). Obviamente, isso tem algo a ver com o Google como registrador. OK - então devo entrar em contato com o suporte do Google, certo? Sim. Eu fiz isso, no entanto, eles me disseram que isso era algo que eu precisava lidar do meu lado e sempre me referindo a 'entre em contato com o seu host' (o que não é um conselho muito importante, pois eu sou o anfitrião).

Eu tentei de tudo no console do Google, mas não consigo fazê-lo funcionar. O suporte do Google foi muito, muito decepcionante e agora espero ver algumas resoluções sobre esse problema.

google nginx debian google-domains Johnny
fonte

Respostas:

44

.devdomínios são apenas HTTPS. Não é um redirecionamento. É pré-carga do HSTS.

HSTS é uma tecnologia que permite que os domínios declarem que são apenas HTTPS. O objetivo é mitigar os ataques de downgrade do protocolo. Na primeira vez em que você visita um site que deseja usar o HSTS, obtém um cabeçalho que impede que você visite esse domínio no HTTP.

A lista de pré-carregamento do HSTS é incorporada aos navegadores da Web, para que o navegador saiba que um site é apenas HTTPS, mesmo antes da primeira visita. Se um site estiver na lista de pré-carregamento do HSTS, ele nunca poderá ser acessado via HTTP nesse navegador, apenas via HTTPS.

O Google colocou todo o .devdomínio de nível superior na lista de pré-carregamento do HSTS . Isso significa que nenhum .devdomínio poderá ser executado como um site HTTP.

Quando você registrou seu .devdomínio, o registro do Google informava isso na primeira página, na seção "Benefícios de segurança":

Segurança integrada

Sua segurança é nossa prioridade. O domínio de nível superior .dev está incluído na lista de pré-carregamento do HSTS, tornando o HTTPS necessário em todas as conexões com sites e páginas .dev sem a necessidade de registro ou configuração individual do HSTS. A segurança está embutida.

Atualmente, apenas o Firefox e o Chrome suportam esse pré-carregamento do HSTS. Se você quiser testar seu site antes de configurar o HTTPS, poderá usar um navegador diferente. Você também pode modificar as configurações do navegador para desativar o HSTS .

Devido ao pré-carregamento do HSTS, você precisará executar seu .devdomínio em um servidor HTTPS para que os usuários possam acessá-lo.

Stephen Ostermiller
fonte
2
É isso aí. Devo ter perdido essa informação e a equipe de suporte não me lembraria desse fato novamente (mesmo que eu ache bastante óbvio que estava faltando exatamente essa informação).
Johnny
8
Sim, o suporte deveria ter sido capaz de lhe dizer isso.
Stephen Ostermiller
4
@Johnny btw, você pode estar interessado em Vamos Criptografar: letsencrypt.org
Ave
1
Outro TLD criado pelo Google .app, também é um espaço para nome somente HTTPS. Cuidado.
Alex Jone
4
Para domínios dev, os dois reservados são * .test e * .localhost. Eles são totalmente reservados, portanto nunca serão assumidos como TLDs reais. * .localhost é realmente muito bom se você estiver realizando testes de host local, pois você pode usar vários serviços como faria com outros TLDs e ainda mapeia para 127.0.0.1. * .test é destinado a qualquer coisa relacionada ao DNS, portanto, se você precisar mapear para IPs de máquinas virtuais ou algo assim, esse é o seu objetivo. Ultimamente tenho sido um grande fã de * .localhost com contêineres de docker, desde que eu mapeie o proxy reverso para 127.0.0.1 de qualquer maneira. Não requer DNS local ou / etc / hosts shenanigans.
superlinkx