OWASP ZAP 憑證安裝的方式(OWASP ZAP Certificate)

問題

透過 ZAP 去錄 https 時，如果沒有安裝憑證時，在 Browser 就會出現「 “Your connection is not private”, “你的連線並不安全”」的警告訊息，如下圖所示。

解法

為什麼會出現那個警告訊息呢? 因為 Browser 用的那個憑證已經不是原本連接的那個 host 的憑證，而變成了 OWASP Zed Attack Proxy Root CA 了哦! 而這個憑證並沒有被電腦 Trust 所以就會有那個警告訊息哦!
那要怎麼辦呢? 就是把憑證裝進去電腦的信任區。
以下我們就一步步來說明，

1.儲存 ZAP 憑證

開啟 OWASP ZAP ，Tools -> Options -> Dynamic SSL Certificates -> Save

2.匯入 ZAP 憑證

DbClick剛才儲存的憑證檔，按下「Install Certificate…」，並將憑證存到「Trusted Root Certification Authorities」之中，如下，

記得要將憑證存到「Trusted Root Certification Authorities」之中

最後按下 Finish 就可以了哦!

FIREFOX 匯入 ZAP 憑證

因為 firefox 憑證是自已管理的，所以 firefox 也要匯入 ZAP 憑證 ，如果會用 firefox 來錄的話，可以省略這步哦!
firefox 選項 -> 隱私權與安全性 (或在網址列輸入 about:preferences#privacy) -> 檢視憑證

匯入 ZAP 憑證

勾選「信任此憑證機構以識別網站」

透過上述的方式，我們就可以錄 https 的網站，而不會一直出現警告訊息。 如果不會再錄的話，就請記得將 ZAP 的憑證移除哦!