如何解决为什么在不安全的情况下将localhost添加到SAN列表中?
请对证书的SAN列表提出疑问。
当前,我有一个Web应用程序,其中启用了mTLS,双向TLS和SSL两种方式。
我所有的客户都有有效的证书集,它们都通过握手,并且在通过网络调用我的服务时能够获得响应有效负载。他们都很高兴。
但是,作为开发人员,如果在 localhost 上运行mTLS,则无法进入自己的服务。
因此,我的立即反应是请我的安全团队在SAN列表中添加本地主机。
但是,他们告诉我这是不安全的,并且被视为添加本地主机的不良做法。
我试图在线查看文档,但没有发现任何具体内容或我能理解的东西。
我不想为本地主机测试禁用mTLS。无论如何,我都不希望通过部署某种不安全的信任来欺骗该过程。
我的问题:
- 为什么将localhost作为SAN列表中的条目添加被认为是不良做法且不安全?
- 然后如何测试部署在本地主机上的应用程序?
谢谢
解决方法
为什么将localhost作为SAN列表中的条目添加被认为是不良做法且不安全?
公开颁发的证书应仅包含由拥有证书的一方完全控制的域。 localhost不是单方拥有的,因此不应成为公共CA颁发的证书的一部分。但它可以是自签名证书的一部分,也可以是私有证书(仅是本地受信任的CA)颁发的证书的一部分,因为在这种情况下,证书的范围受到对CA的信任范围的限制。
那我该如何测试部署在本地主机上的应用程序?
目前尚不清楚您要测试什么。但是,您可以通过向主机文件添加映射来使本地计算机显示为任何域。这样,您可以通过公共域名在本地访问它,而不仅仅是localhost。有关详细信息,请参见例如Adding a website to hosts file and testing it。请注意,此更改仅影响本地计算机上的DNS查找,但这可能是您要测试的内容。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
