웹 진단 시 Burp 인증서를 [신뢰할 수 있는 루트 인증 기관]으로 보통 등록을 한다.
그리고 크롬으로 진단을 시작하려고 하면 가끔 아래와 같은 에러를 마주칠 때가 있다.
해당 에러를 읽어보면 웹 사이트가 HSTS를 사용하고 있기 때문에 지금 당장 해당 사이트에 접근할 수가 없다고 한다.
HSTS가 무엇이고 정확히 어떻게 동작하는 것이며, 이걸을 해결하기 위한 정확한 방법은 어떤 것인지 추후 추가하기로 하고 일단 임시방편을 공유한다.
그롬에서 아래의 URL로 접근한다.
그 후 아래와 같이 Query HSTS/PKP domain 이라고 되어 있는 곳의 Domain 부분에 원하는 HOST명을 입력 후 Query 버튼을 누르면 Found라고 뜨면 HSTS가 적용되어 있는 도메인인 것이다.
이 때 가장 아래에 있는 Delete domain security policies 부분에 진단하고자 하는 Domain을 입력 후 Delete를 눌러준다.
그리고 다시 Query HSTS/PKP domain 부분에 domain을 넣고 Query를 눌러보면 Not Found라고 뜬다면 HSTS 적용이 풀린 것이라고 볼 수 있다.
이는 브라우저단에서 처리한 것이기 때문에 임시방편이며, 모든 Domain에 적용되지 않는 것으로 보인다.
( 구글과 페이스북은 테스트 결과 HSTS 적용이 풀리지 않는 것으로 보였다. )
서버측 변경과 HTTP HEADER값 변경 등 여러 방법이 있는데, 서버측에서 변경하는 것은 진단자가 할 수 있는 방법이 아니므로, 추후 HSTS에 대해 조금 더 조사한 뒤 HTTP HEADER값을 이용하는 방법에 대해서도 추가하도록 하겠다.
rootable