Загрузка файлов блокируется браузером, почему?

Question

[utsiye]

У меня есть небольшое веб-приложение на fastapi. В одном из шаблонов html происходит работа с буфером обмена - изображения копируются в буфер. Для работы с буфером требуется HTTPS соединение, а для него ssl сертификат, поэтому я создал через openssl самоподписанный сертификат и использовал его. Из-за этого, время от времени файлы отказываются скачиваться - браузер показывает ошибку с подключением к интернету. Как это можно исправить?

Домен не нужен и нет в наличии. На предупреждения браузера всеравно - приложение нужно для нескольких человек.
Прикрепляю скрины ошибок:

Comments

[rPman]

время от времени файлы отказываются скачиваться

ситуации, в которых работает и не работает - одинаковые?
Что за браузер?

[utsiye]

rPman, браузер хром, edge и yandex. Ситуации одинаковые - вчера все нормально, а сегодня утром уже нет. Ничего не менялось.

[rPman]

истекло время работы сертификата?
консольные curl/wget что говорят?

[utsiye]

rPman, сертификат был выпущен вчера на 2 года. Сами href изображений, которые в кнопке скачивания, открываются нормально. В консоли ошибок нет. Будто браузер сам блокирует.

[rPman]

utsiye, антивирус? расширения?

[utsiye]

rPman, тоже нет. Думаю, что это связано с блокировкой браузером файлов из-за сертификата.

[rPman]

кстати 'скачивание' это отображение страницы или загрузка ссылка сохранить как?
что показывает консоль разработчика браузера, вкладка сеть?

[Петр]

Обычно запрещает скачивать если идут mix запросы, т.е. страницу открываете через HTTPS, а файл пытаетесь через HTTP

[utsiye]

Петр, перешёл по ссылке - там тоже https, ip такой же и т.д.

[Wexter]

Ситуации одинаковые - вчера все нормально, а сегодня утром уже нет

Скорее всего браузер хочет чтобы снова подтвердили что невалидный сертификат можно игнорировать

[utsiye]

Wexter, а как это сделать? В хроме выбивает на всю страницу предупреждение. Первый раз выбивал, а после перестал. И в выпадающем меню рядом с ссылкой нет ничего.

[Wexter]

utsiye, при открытии сайта нет предупреждения о недействительном сертификате? он показывает какую-то другую ошибку или просто открывает сайт?

[utsiye]

Wexter, сайт открывает в первый раз с предупреждением. Для перехода на сайт нужно согласиться на риск. В последующие входы ничего не всплывает, но есть рядом с меню ссл сертификата значок угрозы и https перечеркнуть красным. Однако, в этом меню только информация о сертификате.

[Wexter]

utsiye, так после того как согласились файлы качаются?

[utsiye]

Wexter, нет, говорю же.

[Wexter]

utsiye, скрин ошибки выложите

[utsiye]

Wexter, выложил. Как таковых ошибок в консоли нет, только замечания от браузера

[Евгений]

Коротко: самоподписанные сертификаты не работают. Давно.
Длинно: Если нет домена, и норм сертификата хотя бы от let's end crypt, то только добавление сертификатов в доверенные на каждой машине.
И это ещё не конец ада. Еще создайте свой центр сертификации (CA), выпустите сертификат, подпишите CA, и потом поставьте CA в доверенные на каждой машине. Что бы Ваш сертификат был валидным.
Оно Вам надо?
Вы же выпустили серт на одной машине, а качать пытаетесь с другой.

[utsiye]

Евгений, знаю, просто nginx не получилось никогда нормально устанавливать.

[Евгений]

utsiye, а nginx то тут причем?
Nginx не выпускает сертификаты.
У Вас очень большой пробел в знаниях по сертификатам.
Из-за этого очень тяжело общаться.

[utsiye]

Евгений, ранее я думал, что nginx нужен для корректной работы доменного имени и нормального ssl сертификата. Видимо, я ошибся. Буду признателен, если выплюнешь кислоту и будешь общаться уважительно, а не как быдло, пытающееся самоутвердиться за счет новичка.

[Евгений]

utsiye, кислоты не было, но выплюну.
Доменного имени не было, тоже выплюну.
Быдло тоже выплюну.
Что осталось? Сертификаты. Которые не работают. Самоподписаные.
Если Вы не слышите, что Вам говорят, то Вы ...

Answer 1

[Drno]

поставь бесплатный ssl... нормальный
sslip.io

Answer 2

[kira_clover]

Чтобы браузер доверял https соединению нужно:
1) использовать ssl сертификат с цепочкой из корневого и промежуточного центров сертификации. Через openssl это тоже можно сделать
2) чтобы цепочка сертификатов была доверенной на устройстве или в самом браузере. Для этого нужно установить и корневой и промежуточный сертификаты в доверенные
3) чтобы веб-сервер был настроен на шифрование по tls версии не ниже 1.3

Answer 3

[Кот Абсолютный]

я создал через openssl самоподписанный сертификат и использовал его

Тяму создать сертификат хватило, а положить его в корневые - нет? Мало создать сертфиикат, надо, чтобы ему доверяли. Доверяют сертификату, валидность которого проверена.

Что такое "валидность проверена"? Это значит, что сертификат либо находится в специальном хранилище валидных сертфиикатов, либо выпущен в CA, корневой сертификат которого находится в хранилище валидных сертификатов. В винде это хранилище называется "Доверенные корневые центры сертификации".

Comments

[Ziptar]

что сертификат либо находится в специальном хранилище валидных сертфиикатов

Не всегда, кстати. Некоторые системы обязательно требуют, чтобы сертификат был подписан (с ca в доверенных), либо самоподписан (и тогда уже сам этот серт в доверенных). Подписанным хрен пойми кем (неизвестным ca) доверять не будут под дулом пистолета.

[utsiye]

А смысла нет, ведь этот сертификат обычным пользователям установить в корневую папку трудно. Поэтому, какой смысл того, что у меня будет все ок, если у них нет?

[Кот Абсолютный]

utsiye, Тогда, извини, тебе только регить домен и брать бесплатный у LE. Хотя может быть среди всех CA найдется какой-нибудь аналог .xyz, который дает сертификаты на IP

[utsiye]

Кот Абсолютный, как раз зарегал поддомен mooo.com. Тестирую, чтобы отметить решение. Спасибо за помощь!

[Кот Абсолютный]

Ziptar, Хм. Я видимо не так выразился. Чтобы проверка на валидность проходила, нужно, чтобы сертификат либо сам был (если про винду) в хранилище "корневые доверенные" либо сертификат его издателя был в "корневые доверенные". Не знаю, как насчет некоторых систем - яббла например, негде проверить, но винда доверяет любому сертификату, выпущенному CA, сертификат которого находится в корневых доверенных.

[Ziptar]

Кот Абсолютный, я не про ОС, а про некоторый софт. Там важно бывает, чтобы доверие строилось от подписанта, будь то самоподпись или CA. Впрочем, не суть важно в данном случае