준호씨의 블로그

크롬브라우저 - "Your connection is not private"로 접근안되는 사이트 들어가기 본문

IT이야기

크롬브라우저 - "Your connection is not private"로 접근안되는 사이트 들어가기

준호씨 2021. 12. 27. 21:25
반응형

크롬 브라우저가 버전업을 하면서 점점 보안을 강화하다 보니 보안상 문제가 될만한 소지가 있는 사이트에 접속을 못하도록 막는 경우가 있습니다.

보통은 "Advanced"버튼을 누르고 "Process to {url} (unsafe)"를 누르면 들어가면 들어가지곤 하는데요.

"Advanced"를 눌러도 다음과 같은 메시지가 나오면서 접근이 막히는 경우가 있습니다.

다른 케이스도 있을지는 모르겠지만 이번 경우는 HSTS를 사용하는 사이트이기 때문이라고 나옵니다.

HSTS가 무언가 검색해 보니 HSTS가 적용된 기간 동안에는 해당 사이트는 http요청을 모두 https요청으로 전환하여 https사용을 강제화한다고 합니다.

화면 상단을 보면 해당 사이트는 "Not Secure"하다는 경고가 나타나고 있는데요.

"Certificate is not valid"를 눌러보면 "Kubernetes Ingress Controller Fake Certificate"라고 나타납니다.

아마도 Kubernetes로 서버 설정을 하는 서버인데 인증서를 따로 세팅해 주지 않아서 Kubernetes에서 임시로 만든 인증서를 사용하고 있는 것으로 보입니다. 강제로 신뢰한다고 설정을 해 두긴 했지만 그래도 접속은 되지 않았습니다.

개인 구글 계정으로 로그인한 경우나 "Incognito"모드로 브라우저로 띄운 경우는 괜찮은데 회사 Google Suite로 로그인 한 브라우저라서 회사 정책에 따르는 것인지 브라우저의 어떠한 설정 문제인지 까지는 확인하지 못했습니다.

아무튼 몇 가지 해결방법을 찾아보았는데요. 인터넷에 검색해 보면 날짜를 맞춰보라는 둥 여러 해결 방안들도 보였지만 저에게 해당하는 해결방법은 아니었습니다. 제가 성공했던 방법은 두 가지가 있었습니다.

 

"thisisunsafe"

이 화면에서 "thisisunsafe"를 키보드로 타이핑하면 사이트에 접속됩니다. 딱히 입력창은 보이지 않지만 어딘가 입력값을 확인하는 기능이 있는가 봅니다. 구글에서 공식적으로 안내하는 문서는 찾지 못했지만 이미 공공연히 알려진 기능인 거 같습니다.

만약 테스트를 해보고 싶다면 https://self-signed.badssl.com/ 사이트에서 테스트해 볼 수 있습니다.

 

HSTS설정에서 Delete domain security policies

이번 케이스는 HSTS를 사용하는 사이트라서 접근할 수 없다는 메시지가 나왔는데요. HSTS설정을 열어봅니다.

크롬 브라우저에서 chrome://net-internals/#hsts로 접속하면 됩니다.

뭔가 UI 디자이너 없이 만든 화면인 느낌이 나는 페이지입니다. 아래쪽을 보면 "Delete domain security policies"라는 항목이 보입니다. 여기서 접속에 실패했던 사이트의 도메인 주소를 넣습니다. 만약 a.b.example.com이었다면 example.com, b.example.com, a.b.example.com을 모두 삭제해 주어야 합니다.

삭제 여부를 확인하기 어려운데요. 윗부분에 있는 "Query HSTS/PKP domain"에서 조회해봅니다.

아무튼 도메인을 삭제해 주고 나면 사이트에 접속할 수 있게 됩니다.

주의사항

가장 좋은 방법은 보안 인증서를 제대로 설정하는 방법입니다. 애초에 보안 설정에 문제가 있다고 경고하는 것이니까요. 사내 운영 툴이나 API 문서 (swagger 등)등 신뢰할 수 있는 사이트에서만 사용하고 처음 들어가 보는 외부 사이트에서 이런 경고가 뜬다면 가급적 사용하지 않는 것이 좋습니다. 보안에 위협이 될 수 있으니까요.

반응형
Comments