certificato SSL per il test

2

Sto costruendo un'app nodo / espresso e, per testare i percorsi https, vorrei includere una chiave privata ssl fittizia e un certificato nel repository. Questo è così che l'altro sviluppatore, che lavora principalmente sullo styling e sul markup, può eseguire l'app sul proprio computer senza dover creare e configurare una chiave e cert stesso.

Quando il server è configurato per lo sviluppo, utilizzerà il certificato fittizio e, quando è configurato per la produzione, utilizzerà le variabili di ambiente per trovare il certificato del client.

C'è qualcosa di sbagliato in questa idea dal punto di vista della sicurezza?

    
posta Dan Ross 30.10.2013 - 10:35
fonte

1 risposta

2

Non c'è alcun problema teorico nell'usare i certificati di test per i test, purché si applichi una protezione esterna adeguata (ad esempio, i test utilizzano un server di test che non è accessibile, firewall-saggio, dall'esterno). L'esperienza mostra, tuttavia, che le caratteristiche del test tendono a diffondersi nella produzione. Se uno sviluppatore deve ricordare che dovrebbe cambiare le configurazioni dei certificati quando va in produzione, allora è probabile che, a un certo punto, dimenticherà, e un certificato di prova con una chiave non proprio privata sarà distribuito in produzione.

Quindi, sarebbe meglio se includessi qualche tipo di failsafe. Ad esempio, nel suo codice di inizializzazione, l'App può verificare se il certificato da utilizzare è il manichino o meno, e se questo è il manichino, cambiare una caratteristica visibile dell'app (es. Mettere un bordo rosso attorno allo schermo, o qualcosa di simile quello).

    
risposta data 30.10.2013 - 15:14
fonte

Leggi altre domande sui tag