Creazione di certificati autofirmati per localhost e trusting completo

3

Come accompagnamento a un'applicazione web, prevediamo di avere un'applicazione di nodo in esecuzione come servizio Windows in esecuzione sul computer client. Verrà eseguito un piccolo server Web che ascolterà sulla porta XXXX per le informazioni inviate dall'applicazione Web (quindi l'applicazione Web eseguirà un POST Ajax su http://localhost:XXXX ). L'applicazione nodo ha accesso a cose che un'applicazione basata su browser non può permetterci di aiutare con determinate integrazioni.

Il problema è che l'applicazione Web è in esecuzione come https e non consentirà che una richiesta POST venga inviata al nostro servizio http in esecuzione a livello locale.

Le mie domande sono:

  1. È possibile creare un certificato autofirmato per https://localhost in modo che l'utente non debba quindi fidarsi del certificato ogni volta che accede al computer.

Ho provato a creare il certificato autofirmato e ad aggiungerlo all'elenco delle autorità attendibili, ma devo ancora navigare a http://localhost:XXXX in un browser e scegliere di considerare attendibile il certificato prima che possa ottenere l'applicazione Web per comunicare correttamente con l'applicazione nodo.

  1. C'è un altro modo per aggirare questo?
posta Neil 29.04.2016 - 10:36
fonte

1 risposta

1

Per quanto riguarda la prima parte della tua domanda. la risposta è NO , e tutti quelli che dicono che è dimenticare che ciò significa anche rompere i livelli essenziali di sicurezza sul dispositivo.

per quanto riguarda il secondo è possibile ma molto discutibile per farlo. Il modo per farlo è acquistare un certificato per un dominio (come localapp.example.com) e avere il suo punto di ingresso DNS su 127.0.0.1. e condividere la chiave e il certificato con l'app.

Intendiamoci, questo rompe efficacemente il livello di sicurezza fornito da TLS mentre la chiave si trova ora sulla stessa macchina del client. e chiunque abbia accesso alla macchina può ascoltare in quella parte della conversazione e utilizzare il certificato per configurare il proprio servizio al suo posto.

Ti consiglierei di avere un nuovo dominio per questo scopo e tieni presente che questa configurazione è solo per poter utilizzare la tua webapp insieme agli altri servizi web. Che ora sono vulnerabili a più attacchi di iniezione a causa del fatto che un servizio web locale fa parte dell'applicazione completa.

    
risposta data 29.04.2016 - 11:06
fonte

Leggi altre domande sui tag