はじめに
久しぶりにOWASP ZAPを使おうとしたときに証明書の期限切れで使えなくなってたので解決策をメモ。
この記事をみればルート証明書の更新のやり方が分かります。
SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
FireFoxを見ると警告が表示され、検証ページが開けません。
エラー内容をみると、「発行者の証明書が期限切れになっているためこの証明書は信頼されません。」となっていますね。
証明書の有効期限を確認
OWASP ZAPで証明書の期限を確認してみましょう。
OWASP ZAPを開き、ヘッダメニューのツールをクリック。
ツールクリック後、オプション => 「ダイナミックSSL証明書」をクリックします。
以下の画面が表示されます。「表示」を選択しましょう。
すると、証明書の情報を確認することができます。
やはり、有効期限が切れていたようです。。
次の章で更新作業をしていきましょう。
証明書の更新
先ほど開いたオプション画面を開きます。
閉じてしまったら再度開きましょう。
ヘッダメニューのツールをクリック => オプション => 「ダイナミックSSL証明書」
「生成」を選択します。
そうすると、アラートダイアログがでてきます。
「はい」を選択して、証明書を更新しましょう。
証明書が上書きされたので、新しい証明書を任意のディレクトリに保存します。
再度、「表示」を選択して証明書の情報を確認してみましょう。
有効期限が更新されましたね!
証明書をインポートする
新しい証明書をForefoxに適応させます。
ツールバーのオプション、もしくはオプションアイコンをクリック。
左メニューの「プライバシーとセキュリティ」を選択して、「証明書を表示」をクリック。
証明書マネージャーが開きます。
古い証明書を削除
適応前に古い証明書を削除しておきましょう。
「認証局証明書」タブを選択して「OWASP Xed Arttak Proxy Root CA」にカーソルを合わせます。
※これが古い証明書です。
「削除または信頼しない」を押して解除は完了です。
※物理的に保存している証明書ファイルも削除してしまって問題ありません。
※古いほうと、新しいほう、間違えずに削除しましょう。
新しい証明書の適応
削除後、新しい証明書を「インポート」します。
先ほど保存した証明書を選択します。
ウェブサイトの識別を信頼するにチェックしてOKをクリック。
一覧にOWASPの証明書が追加されていることを確認して、OKをクリック。
これでまた更新作業は完了となります。
あらためて検証ページにアクセスしてみましょう!
証明書の更新方法については以上となります。
トラブルシューティング
MOZILLA_PKIX_ERROR_MITM_DECTED
証明書を更新したのに「安全な接続ではありません」と言われてしまいました。
ただし、期限が切れていた当初の「SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE」とは違うので、なにか別の問題が発生しているようです。
自分のケースですが、新しい証明書を証明書マネージャで「削除または信頼しない」で無効化して、再度インポートしなおしたことが原因だと予測しております。
※古い証明書を消そうとして、新しほうを消してしまった。 => それに気づいて再度インポートした。という経緯で発生。
※せっかく発行した証明書が無効化されてしまったようです。(予測)
そのため再度、OWASP ZAP側で証明書を生成しなおしてから適応することによって解決できました。
※「証明書の更新」からやり直す
OWASP ZAPと連動できない
ポートやプロキシがFirefoxとOWASP ZAP間で統一できていない等、基本的な設定が誤っている可能性があります。
再度見直してみるとよいでしょう。
設定編を参考にしてください。