如要讓 ChromeOS 和 Chrome Enterprise 基本版裝置在啟用 TLS 檢查 (也稱為 SSL 檢查) 的網域上運作,必須將部分主機名稱排除在檢查範圍之外。這是因為憑證只能在使用者層級匯入,並且僅與使用者層級的流量相關聯。部分裝置層級的流量則不會使用傳輸層安全標準 (TLS) 或安全資料傳輸層 (SSL) 憑證來為使用者防範特定類型的安全性風險。
主機名稱許可清單的更新內容
- 2024 年 8 月 20 日:新增了其他主機名稱 (www.gstatic.com 和 ssl.gstatic.com),並將這些名稱加入 ChromeOS 登入許可清單。
展開清單即可查看先前的更新內容。
先前的更新內容
- 2024 年 5 月 10 日:在適用所有裝置的許可清單中新增了其他主機名稱 (edgedl.me.gvt1.com)。並且提供這些主機名稱的更多詳細資料:
accounts.google.com
accounts.google.[country]
chromeos-ca.gstatic.com
clients3.google.com
connectivitycheck.gstatic.com
dl.google.com
m.google.com
tools.google.comaccounts.google.com
- 2024 年 3 月 12 日:為所有裝置新增了要加入許可清單的其他主機名稱 (alkalichromeosflexhwis2-pa.googleapis.com)
- 2023 年 8 月 17 日:為所有裝置新增了要加入許可清單的其他主機名稱 (youtubeeducation.com)
- 2023 年 1 月 16 日:針對意見回饋應用程式的搜尋功能新增了要加入許可清單的其他主機名稱
- 2022 年 7 月 20 日:新增了需要為安全瀏覽端點加入許可清單的其他主機名稱
- 2022 年 2 月 1 日:新增了需要為所有裝置加入許可清單的其他主機名稱
- 2021 年 7 月 26 日:新增了需要為使用 Chrome 擴充功能和應用程式 (Chrome 線上應用程式商店) 的裝置加入許可清單的其他主機名稱
- 2021 年 4 月 21 日:新增了需要為所有裝置加入許可清單的其他主機名稱
- 2021 年 2 月 20 日:新增了需要為所有裝置加入允許清單的其他主機名稱
- 2020 年 8 月 11 日:新增了需要為所有裝置加入允許清單的其他主機名稱
- 2020 年 3 月 3 日:新增了需要為 Google Play 加入許可清單的其他主機名稱
- 2019 年 12 月 16 日:新增了 cloudsearch.googleapis.com,可在透過 Chrome 網址列執行搜尋時傳回 Google 雲端硬碟搜尋結果
- 2019 年 6 月 25 日:將 *gvt1.com 變更為 *.gvt1.com 並新增了 *.1e100.net
- 2018 年 9 月 25 日:新增了 chromeos-ca.gstatic.com
- 2018 年 7 月 20 日:新增了 *gvt1.com
- 2018 年 3 月 15 日:新增了 policies.google.com
- 2017 年 12 月 22 日:新增了 alt*.gstatic.com
- 2017 年 7 月 13 日:新增了 accounts.google.<國家/地區>
- 2017 年 3 月 1 日︰新增了需要為使用 Android 應用程式的裝置加入許可清單的主機名稱
- 2017 年 1 月 19 日:移除了 cache.pack.google.com
- 2016 年 9 月 28 日:新增了 mtalk.google.com
- 2015 年 12 月 2 日:新增了需要為單一應用程式資訊站裝置加入許可清單的主機名稱
- 2015 年 8 月 5 日:新增了 accounts.gstatic.com
適用於所有 ChromeOS 和 Chrome Enterprise 基本版裝置的主機名稱許可清單
如要確保裝置在啟用 TLS 檢查功能或在網路限制外部流量的情況下能夠正常運作,您必須在 Proxy 伺服器上允許下列主機名稱。如要進一步瞭解如何允許主機名稱,請洽詢網路管理員。
自動更新
Google 端點
|
說明
|
---|---|
tools.google.com | 傳回更新設定 (包括酬載網址清單) 的 Omaha 網址。 |
edgedl.me.gvt1.com |
可下載更新酬載的網址。 |
dl.google.com |
Google 端點
|
說明
|
---|---|
m.google.com | 用於註冊和擷取企業政策的裝置管理伺服器。 |
clients3.google.com | 用於同步系統時鐘。必須有此端點,才能根據裝置管理伺服器後端所用的當下時間產生金鑰。 |
www.googleapis.com | 伺服器管理服務的 OAuth 範圍。完整路徑是 www.googleapis.com/auth/chromeosdevicemanagement,但不支援依路徑篩選。 |
Google 端點
|
說明
|
---|---|
accounts.google.com accounts.google.[country] |
Google 登入頁面。
加入 accounts.google.<國家/地區> 時,請為 <國家/地區> 套用地區頂層網域。舉例來說,澳洲請使用 accounts.google.com.au,英國請使用 accounts.google.co.uk。 |
www.google.com | 用於登入的 OAuth2 範圍。完整路徑是 www.google.com/accounts/OAuthLogin,但不支援依路徑篩選。 |
www.googleapis.com | 存取 Google API 適用的 OAuth2 範圍。 |
www.gstatic.com |
下載登入頁面內容 (例如 JavaScript 和 CSS 資產) 時需使用。 |
Google 端點
|
說明
|
---|---|
chromeos-ca.gstatic.com | Google 認證憑證授權單位 (ACA) 伺服器。用於驗證裝置身分及擷取註冊憑證。 |
clients3.google.com | 用於同步系統時鐘。必須具備這個端點,才能驗證憑證及判斷註冊狀態。 |
m.google.com | 用於註冊和擷取企業政策的裝置管理伺服器。 |
www.gstatic.com | 用於檢查註冊狀態。 |
ChromeOS 的網頁認證入口偵測工具使用兩種探測方法:HTTP 和 HTTPS 探測。主要網址位於以下表格的左欄中。如果這些網址遭到封鎖,入口網站偵測工具會改回使用下表右欄的備用網址。只需允許一個 HTTP 和一個 HTTPS 網址略過防火牆即可,不管是主要或備用網址都沒問題。唯一的差別在於改回使用備用網址的速度較慢。
Google 端點
|
說明
|
---|---|
http://connectivitycheck.gstatic.com | ChromeOS 預設的 HTTP 探測網址。 備用網址:
|
https://www.google.com | ChromeOS 預設的 HTTPS 探測網址。 備用網址:
|
http://www.gstatic.com | Chrome 瀏覽器網頁認證入口檢查。請注意 HTTP 通訊協定。 |
*.1e100.net1
accounts.gstatic.com
accounts.youtube.com
alkalichromeosflexhwis2-pa.googleapis.com2
alt*.gstatic.com3
chromeosquirksserver-pa.googleapis.com
clients1.google.com
clients2.google.com
clients4.google.com
clients2.googleusercontent.com
cloudsearch.googleapis.com
commondatastorage.googleapis.com
cros-omahaproxy.appspot.com
dl-ssl.google.com
enterprise-safebrowsing.googleapis.com
firebaseperusertopics-pa.googleapis.com
*.googleusercontent.com
*.gvt1.com
gweb-gettingstartedguide.appspot.com
mtalk.google.com
omahaproxy.appspot.com
pack.google.com
policies.google.com
printerconfigurations.googleusercontent.com
safebrowsing-cache.google.com
safebrowsing.google.com
safebrowsing.googleapis.com
sb-ssl.google.com
scone-pa.clients6.google.com
ssl.gstatic.com
storage.googleapis.com
www.googleapis.com
1 如需更多資訊,請參閱「什麼是 1e100.net?」
2 僅適用於 ChromeOS Flex 裝置。
3 如果您使用的 ChromeOS 版本是 62,並且看到「網路無法使用」錯誤訊息,便可能需要允許透過通訊埠 80 的防火牆存取主機 alt*.gstatic.com。若問題仍然無法解決,請參閱要允許的主機完整清單。
其他要允許的主機
如果您使用下列項目,則必須允許其他主機名稱,才能正常執行傳輸層安全標準 (TLS) 檢查:
- 裝置 (包括單一應用程式資訊站裝置) 上來自 Chrome 線上應用程式商店的 Chrome 擴充功能或應用程式。
- 裝置上來自 Google Play 商店的 Android 應用程式
使用 Chrome 擴充功能和應用程式 (Chrome 線上應用程式商店) 的 ChromeOS 和 Chrome Enterprise 基本版裝置主機名稱許可清單
如果您在裝置 (包括單一應用程式資訊站裝置) 中使用 Chrome 擴充功能和應用程式 (Chrome 線上應用程式商店),除了上述主機名稱以外,還必須允許以下主機名稱:
chrome.google.com
clients2.googleusercontent.com
lh3.ggpht.com
lh4.ggpht.com
lh5.ggpht.com
lh6.ggpht.com
update.googleapis.com
update.googleapis.com/service/update2/json
適用於使用 Android 應用程式 (Google Play 商店) 的 ChromeOS 和 Chrome Enterprise 基本版裝置的主機名稱許可清單
如果您在裝置上使用 Android 應用程式 (Google Play 商店),除了上方「適用於所有 ChromeOS 和 Chrome Enterprise 基本版裝置的主機名稱許可清單」一節中列出的主機名稱外,還必須允許下列主機名稱。
connectivitycheck.android.com
play.google.com
android.com
google-analytics.com
googleusercontent.com
*gstatic.com
*.ggpht.com
android.clients.google.com
*.gvt2.com
*.gvt3.com
*.googleapis.com
gcm-http.googleapis.com
gcm-xmpp.googleapis.com
android.googleapis.com
fcm.googleapis.com
fcm-xmpp.googleapis.com
pki.google.com
clients5.google.com
clients6.google.com
connectivitycheck.gstatic.com
www.google.com
適用於使用 Chrome Education 升級版的 ChromeOS 和 Chrome Enterprise 基本版裝置的主機名稱許可清單
如果您在 Google Classroom 中使用 YouTube Player for Education,除了上方「適用於所有 ChromeOS 和 Chrome Enterprise 基本版裝置的主機名稱許可清單」一節中列出的主機名稱外,還必須允許下列主機名稱。詳情請參閱《透過 YouTube 學習的全新方式》。
youtubeeducation.com