Trovo sempre un problema creare una nuova chiave per lo sviluppo e stavo pensando di fare qualcosa di simile sia per me stesso che per aiutare altri sviluppatori a uscire:
- Registra un dominio come
fakesite.com
- Ottieni un certificato ssl con caratteri jolly
- Rendi disponibili al pubblico sia il certificato che i file della chiave privata
- Testare localmente i miei siti aggiungendo voci ai miei file host per quello che voglio testare (ad esempio api.fakesite.com, www.fakesite.com, ecc.) o puntando a 127.0.0.1 o al mio ip sul mio locale rete e utilizzando il certificato pubblicamente disponibile e la chiave privata.
fakesite.com
invierebbe tutti i sottodomini a una pagina sul sito web principale che spiegherebbe a cosa serviva. Il certificato effettivo e la chiave privata sarebbero resi disponibili altrove, come in un repository github.
Gli unici problemi che potrei pensare sarebbero
1) L'attaccante può eseguire un attacco MITM reindirizzando il DNS al suo sito Web, che può rendere sicuro utilizzando la "chiave privata" disponibile pubblicamente e indurti a navigare in una pagina web come "citibank.fakesite.com 'e inserendo le tue informazioni.
2) Come sviluppatore ho sbagliato a digitare un url e inviato traffico a apu.fakesite.com, che viene usato come sopra in modo da poter catturare il traffico che intendevo inviare al mio computer locale
In realtà sembra più sicuro per me come sviluppatore che creare un certificato autofirmato usando strumenti disponibili pubblicamente e avendo la chiave sul disco fisso per i miei strumenti da utilizzare. Se qualcuno lo capisce, potrebbe spoofare qualsiasi sito web per me perché devo fidarmi di esso, giusto?
Usando un posto come LetCrypt per l'autorità, possono dire che il mio certificato / chiave è valida solo per quel dominio, che dovrebbe essere usato solo per test e sviluppo locali.
Ci sono problemi a cui non sto pensando, o è il numero 1 abbastanza probabile che questa sia una cattiva idea?