はじめに
HSTS のデバグや検証、私の場合はセキュリティ診断作業中に直接診断対象にアクセスしたら HSTS で、その後にプロキシ(オレオレ証明書でMITM)でアクセスできなくなった。
という場合の対処法。
つまりは、Webブラウザに HSTS サイトだってことを忘れさせる方法
おそらく、preload HSTS には無理だと思う。
当然だけど、検証作業や、デバグ作業や、危険を承知で使うための裏技であって、一般大衆が使う技ではないよ。
HSTS
HSTS は、HTTP over SSL を強制させる仕組み。
ついでに、オレオレ証明書での接続も禁止される。
具体的方法
Google Chrome の場合
HSTS を読み込んで、オレオレ証明書経由でアクセスしようとすると、こんな感じ。
無理やりアクセス(危険性を承知でアクセス)することすらできなくなる
という事で、キャッシュの全クリアを実施する(その1)
という事で、キャッシュの全クリアを実施する(その2)
すると、こんな感じで、無理やりアクセス(危険性を承知でアクセス)することができるようになった
Opera の場合
HSTS を読み込んで、オレオレ証明書経由でアクセスしようとすると、こんな感じ。
無理やりアクセス(危険性を承知でアクセス)することすらできなくなる
という事で、キャッシュの全クリアを実施する(その1)
という事で、キャッシュの全クリアを実施する(その2)
すると、こんな感じで、無理やりアクセス(危険性を承知でアクセス)することができるようになった
Microsoft Edge の場合
HSTS を読み込んで、オレオレ証明書経由でアクセスしようとすると、こんな感じ。
無理やりアクセス(危険性を承知でアクセス)することすらできなくなる
という事で、キャッシュの全クリアを実施する(その1)
という事で、キャッシュの全クリアを実施する(その2)
すると、こんな感じで、無理やりアクセス(危険性を承知でアクセス)することができるようになった
ちなみに、この設定(ブラウザ終了時にキャッシュ全クリア)をしておくと、ブラウザを再起動するだけでHSTSだったことも忘れてくれる
Microsoft Internet-Explorer の場合
HSTS を読み込んで、オレオレ証明書経由でアクセスしようとすると、こんな感じ。
無理やりアクセス(危険性を承知でアクセス)することすらできなくなる
という事で、キャッシュの全クリアを実施する
すると、こんな感じで、無理やりアクセス(危険性を承知でアクセス)することができるようになった
ちなみに、この設定(ブラウザ終了時にキャッシュ全クリア)をしておくと、ブラウザを再起動するだけでHSTSだったことも忘れてくれる
Firefox の場合
HSTS を読み込んで、オレオレ証明書経由でアクセスしようとすると、こんな感じ。
無理やりアクセス(危険性を承知でアクセス)することすらできなくなる
という事で、キャッシュの全クリアを実施する(その2)
すると、こんな感じで、無理やりアクセス(危険性を承知でアクセス)することができるようになった
ちなみに、この設定(キャッシュしない)をしておくと、ブラウザを再起動するだけでHSTSだったことも忘れてくれる