0

请在证书的 SAN 列表上提问。

目前,我有一个 Web 应用程序,其中启用了 mTLS、双向 TLS、双向 SSL。

我所有的客户都拥有有效的证书集,并且他们都通过了握手并且能够在通过 Web 调用我的服务时获得响应负载。他们都很高兴。

但是,作为开发人员,如果在localhost上运行时 mTLS 处于活动状态,我将无法进入自己的服务。

因此,我的第一反应是要求我的安全团队在 SAN 列表中添加 localhost。

但是,他们告诉我这是不安全的,并且认为添加 localhost 是不好的做法。

我试图在网上查看文档,但没有找到任何具体的或我能理解的东西。

我不想为我的本地主机测试禁用 mTLS。无论如何,我不想通过部署某种不安全的信任来欺骗这个过程。

我的问题:

  • 为什么在 SAN 列表中添加 localhost 作为条目被认为是不好的做法和不安全的?
  • 那么如何测试部署在我的本地主机上的应用程序呢?

谢谢

4

1 回答 1

0

为什么在 SAN 列表中添加 localhost 作为条目被认为是不好的做法和不安全的?

公开颁发的证书应仅包含由拥有证书的一方完全控制的域。localhost不属于任何一方,因此不应成为公共 CA 颁发的证书的一部分。但它可以是自签名证书的一部分,也可以是私人颁发的证书,即只有本地受信任的 CA,因为在这种情况下,证书的范围受对 CA 的信任范围的限制。

那么如何测试部署在我的本地主机上的应用程序呢?

目前尚不完全清楚您到底想测试什么。但是您可以通过向主机文件添加映射来使本地计算机显示为任何域。这样您就可以通过公共域名在本地访问它,而不仅仅是localhost. 有关详细信息,请参见将网站添加到主机文件并对其进行测试。请注意,此更改仅影响本地计算机上的 DNS 查找,但这可能是您想要测试的内容。

于 2020-10-13T03:44:17.150 回答