Aquí hay un fenómeno curioso que presencié en Chrome.
Hace un par de días me di cuenta de quemi blogperdió su estilo. Probablemente no pueda cargar su hoja de estilo u otros recursos, ¿verdad? Lo configuré hace años y solía funcionar hasta hace poco.
Utilicé DevTools de Chrome para investigar y parece que la carga https://evilcorp.blog.ram.rachum.com/css/fonts.cssfalla.
Hablé con el soporte de mi servidor web y resulta que no hay ningún sitio HTTPS configurado. Después de más investigaciones, nunca se configuró para ser HTTPS.
Miré nuevamente la fuente HTML de mi blog. El archivo de fuentes al que hace referencia es http://evilcorp.blog.ram.rachum.com/css/fonts.css, tenga en cuenta la falta de https. Ese enlace funciona.
No puedo entender por qué Chrome intenta cargar la versión HTTPS cuando se le proporcionó explícitamente una URL HTTP. ¿Es esta nueva funcionalidad? ¿Qué puedo hacer?
Respuesta1
Tu blog tiene como dirección https://blog.ram.rachum.com/, por lo que esta es una página HTTPS.
Cuando una página HTTPS incluye contenido HTTP, los atacantes pueden leer o modificar la parte HTTP, aunque la página principal se proporcione a través de HTTPS. Cuando una página HTTPS tiene contenido HTTP, su contenido se denomina "mixto". La página web está sólo parcialmente cifrada, ya que parte del contenido se recupera sin cifrar a través de HTTP, por lo que se considera insegura.
Los navegadores modernos hoy en día bloquean el contenido mixto por considerarlo inseguro, deshabilitando de hecho los enlaces HTTP.
En Chrome, puedes forzarlo usando:
chrome.exe --allow-running-insecure-content
pero no puedes obligar a tus usuarios a ejecutar Chrome de esa manera.
La mejor solución es convertir su página para que utilice únicamente enlaces HTTPS.