Proxy SwitchyOmega 플러그인 / SSL 인증서 관련

브라우저 프록시 설정 조직정책에서 막혀있고

BurpHelper 도 안먹힐 때 사용

크롬 확장 프로그램에서 설치하면 된다 (Proxy SwitchyOmega)

 

[SSL 인증서 관련]

네이버 정상적으로 접속하면 원래 인증서 정보 아래와 같다

발급기관 CN은 원래 DigiCert 나 그런거일텐데

지금 외부망이 회사 네트워크 통해서 필터링 된 후 나가고 있어서

회사EXIT 으로 찍힌것 같다

근데 Proxy 활성화 하고 접속하면 Burp 인증서로 바뀜 

네이버 서버 <> Burp <> 클라이언트(브라우저) 이렇게 있어서 

Burp 의 인증서가 클라이언트에게 보여져서 그렇다

아직 Burp 인증서를 클라이언트의 신뢰할 수 있는 루트 인증기관에 설치를 안해서

클라이언트(브라우저)가 접속하지 못하는 상태이다

왜냐면 서버에서 HSTS 헤더가 설정되어 있어서

브라우저가 HTTPS 를 강제화 시키는데

현재 인증서를 신뢰할 수 없으니까 접속을 막음

그래서 Burp 인증서를 신뢰할 수 있는 루트 인증기관에 설치해 주면

Burp 의 인증서로(=Proxy 킨 상태로) 네이버 접속할 수 있다

패킷도 정상 캡쳐 가능

*그럼 왜 네이버 서버의 인증서는 신뢰할 수 있는 루트 인증기관에 직접 설치 안해도 되냐?

회사들은 DigiCert, GlobalSign, Let's Encrypt 같은 글로벌 인증기관에서 SSL 인증서를 발급 받는다

이런 글로벌 인증기관(CA)의 인증서는 편의성을 위해 운영체제와 브라우저에 자동으로 포함되어 있다 

사설 CA에서 인증서를 발급받았거나

그 밖의 경우는 이렇게 직접 클라이언트에 등록해줘야 한다

 

정리)

1. 클라이언트의 신뢰할 수 있는 루트 인증기관에 설치 안되어있으면 

   - 서버가 HSTS 설정을 하는 경우: 접속 불가

   - 서버가 HSTS 설정 없으면: 접속 가능

 

2. 일반적인 회사들의 인증서는 자동으로 신뢰할 수 있는 루트 인증기관에 포함되어있다