有没有办法让 Red Hat Linux 机器信任自签名证书?
例如 wget https://example.com - 给出证书不受信任的错误,因为“https://example.com”具有自签名证书;使用 wget '--no-check-certificate' 可以覆盖对证书的检查。但我想让 Red Hat 隐式信任自签名证书 - 有没有办法做到这一点?
谢谢。
问问题
3438 次
1 回答
1
这本身不是一个编码/编程问题,但我认为这个答案在编写软件时可能同样有效,所以无论如何我都会发布它。
在您正在使用的计算机系统或您正在编写的软件中默认信任自签名证书是一个糟糕的主意。如果您接受所有证书,那么中间人的攻击就会变得微不足道。攻击者需要做的就是向您提供一个自签名证书,并对流量进行解密和重新加密。
通常在这种情况下,您需要创建自己的证书颁发机构,用它签署您的证书,并将其添加到/etc/ca-certificates.confRed Hat 或任何 Red Hat 使用的地方。
如果您正在编写自己的软件,我还会跟踪给定主机提供的旧证书,因此如果它已更改,我会收到警告,因为我怀疑完全信任全局 CA 是否明智。
我想说以下是最佳实践:
- 对于您自己的服务,或任何需要表明服务由您信任的给定实体提供的服务,创建一个 CA 并将其用于证书。
- 对于其他任何事情,请在保留安全令牌(SSL 证书指纹、SSH/GPG 指纹等)后建立安全连接,并注意它是否已更改。如果您是偏执狂,则第一次使用通过从各个地方连接或使用几天或通过其他渠道来确保指纹正常(不是很重要,因为在第一次连接期间出现 MITM 的机会非常低概率 - 但仍然不可忽略)。
于 2010-12-23T21:03:02.753 回答