Perché le richieste HTTPS vengono bloccate da Firefox quando si utilizza il proxy ZAP?

Naviga le tue risposte
5

Ho Zed Attack Proxy (ZAP) sulla mia macchina e il mio browser è Firefox. Quando instrado il traffico del browser attraverso il proxy ZAP (usando FoxyProxy), se si tratta di traffico HTTPS, Firefox dice "La tua connessione non è sicura" e il gioco è fatto. Non posso fare nulla Non riesco nemmeno a google quando il proxy è attivo.

C'è un certificato che devo installare su ZAP o posso aggirarlo?

    
posta Jason Krs 04.01.2017 - 16:14
fonte

2 risposte

9

ZAP crea certificati, al volo, nel nome del sito che Firefox sta per.

Firefox sta dicendo "Non mi fido della CA che ha firmato questo certificato", il che è ragionevole, perché è un MITM da un'autorità di certificazione non approvata.

Devi importare il certificato di firma di Zap nell'archivio certificati Trusted Roots di Firefox. Se Google "zap install certificate" riceve molti link per farlo:

Per citare il primo link:

  1. Open up OWASP ZAP, go to Tools -> Options

  2. In the Dynamic SSL Certificates*, click on Generate if you don't see a certificate, else, Save the certificate in some location comfortable to you like your home folder.

... e poi importalo nel tuo browser, usando qualunque processo sia appropriato e che varia da browser a browser. Dovrebbe assomigliare a questo:

* Nella versione 2.5.0. Le versioni precedenti potrebbero essere solo denominate Certificati .

    
risposta data 04.01.2017 - 16:26
fonte
5

C'è un aiuto di base per questo, anche con informazioni specifiche su Firefox (insieme ad altre): link

Dopo aver esportato e salvato il certificato CA di ZAP:

Firefox is using it's own certificate store. Thats why you have to import it twice, when you're using both browser on windows. Installation and late on validation is done in the same preferences dialog:

  1. Go to Preferences
  2. Tab Advanced
  3. Tab Cryptography/Certificates
  4. Click View certificates
  5. Click tab Trusted root certificates
  6. Click Import and choose the saved owasp_zap_root_ca.cer file
  7. In the wizard choose to trust this certificate to identify web sites (check on the boxes)
  8. Finalize the wizard

Ho anche riscontrato circostanze in cui in precedenza ho visitato un sito in Firefox, quindi quando provo a visitarlo mentre eseguo il proxy tramite ZAP non mi consente di aggiungere un'eccezione. In generale, questo può essere aggirato premendo ctrl-shift-del e cancellando la cache, i cookie e le preferenze del sito per le cose visitate nell'ultima ora (da quando l'hai appena visitato) e poi ricaricando (che dovrebbe quindi consentire di impostare il eccezione).

    
risposta data 22.03.2017 - 00:42
fonte

Leggi altre domande sui tag

Qual è una buona strategia di crittografia dei dati per una risorsa condivisa (testo)? È sicuro memorizzare token 2FA insieme a password in 1password?