Мониторинг SSL-пакетов

Question

Я тестирую SSL на локальном сервере.

Похоже, что HTTPS отображается в адресной строке, и это, кажется, успешное соединение HTTPS.

Однако, когда я использую ZAP, чтобы разорвать запрос и ответ, и увидеть их, содержимое - просто текст.

Это правильная вещь?

Answer 1

Поскольку в части https URL есть красная линия, я предполагаю, что вы запустили браузер из ZAP. Когда вы делаете это, ZAP настраивает браузер на прокси через ZAP и игнорирует предупреждения сертификатов. ZAP может затем использовать свой сертификат CA для перехвата и повторной подписи запроса.