ZAPプロキシを使用しているときにHTTPSリクエストがFirefoxによってブロックされるのはなぜですか?
私のマシンにはZed Attack Proxy(ZAP)があり、ブラウザはFirefoxです。ブラウザのトラフィックを(FoxyProxyを使用して)ZAPプロキシ経由でルーティングすると、HTTPSトラフィックの場合、Firefoxは「接続は安全ではありません」と表示します。何もできません。プロキシがオンのときはグーグルできません。
ZAPにインストールする必要がある証明書はありますか、それとも回避できますか?
ZAPは、Firefoxがアクセスするサイトの名前で、その場で証明書を作成します。
Firefoxは「この証明書に署名したCAを信頼していません」と言っていますが、これは未承認の認証局によるMITMであるため、妥当です。
Zapの署名証明書をFirefoxの信頼されたルート証明書ストアにインポートする必要があります。グーグルの「ザップインストール証明書」を使用すると、そのためのリンクがたくさん表示されます。
最初のリンクを引用するには:
OWASP ZAPを開き、Tools-> Optionsに移動します
Dynamic SSL Certificates *、で、Generateをクリックします。 t証明書を確認します。それ以外の場合は、Save証明書をホームフォルダのような快適な場所に保存します。
...次に、ブラウザごとに異なる適切なプロセスを使用して、ブラウザにインポートします。次のようになります。
*バージョン2.5.0。以前のバージョンは単にCertificatesという名前になります。
そのためのコアヘルプがあり、Firefox固有の情報も(他のものとともに)あります: https://github.com/zaproxy/zap-core-help/wiki/HelpUiDialogsOptionsDynsslcert#mozilla-firefox
ZAPのCA証明書をエクスポートして保存した後:
Firefoxは独自の証明書ストアを使用しています。 Windowsで両方のブラウザを使用している場合、それが2回インポートする必要がある理由です。インストールと検証の後半は、同じ設定ダイアログで行われます。
- 設定に移動
- タブの詳細
- タブの暗号化/証明書
- [証明書を表示]をクリックします
- [信頼されたルート証明書]タブをクリックします
- [インポート]をクリックして、保存されたowasp_zap_root_ca.cerファイルを選択します
- ウィザードで、この証明書を信頼してWebサイトを識別することを選択します(ボックスをオンにします)
- ウィザードを完了する
以前にFirefoxでサイトにアクセスしたことがあるという状況にも遭遇しましたが、ZAPを介してプロキシしているときにアクセスしようとすると、例外を追加できません。一般に、これはctrl-shift-delを押してキャッシュ、Cookie、および過去1時間にアクセスしたもののサイト設定をクリアし(先ほどアクセスしたため)、リロードすることで回避できます(これにより、例外)。