Red Hat Linux ボックスに自己署名証明書を信頼させる方法はありますか?
例 wget https://example.com - 「https://example.com」には自己署名証明書があるため、証明書が信頼されていないというエラーが発生します。wget '--no-check-certificate' を使用すると、証明書のチェックをオーバーライドできます。しかし、Red Hat に自己署名証明書を暗黙的に信頼させたいのですが、これを行う方法はありますか?
ありがとう。
3438 次
1 に答える
1
それ自体はコーディング/プログラミングの質問ではありませんが、この答えはソフトウェアを書くときにも同じように有効であると思うので、とにかく投稿します。
使用しているコンピュータシステムまたは作成しているソフトウェアでデフォルトで自己署名証明書を信頼することは、ひどい考えです。すべての証明書を受け入れると、中間者攻撃は簡単になります。攻撃者が行う必要があるのは、自己署名証明書を提示し、トラフィックを復号化して再暗号化することだけです。
通常、このような状況では、独自の認証局を作成し、それを使用して証明書に署名し、/etc/ca-certificates.confRedHatが使用するものに追加する必要があります。
独自のソフトウェアを作成している場合は、特定のホストが提供した古い証明書も追跡します。グローバルCAを完全に信頼することが賢明であるかどうか疑問があるため、変更された場合は警告が表示されます。
以下がベストプラクティスだと思います。
- 独自のサービスの場合、またはサービスが信頼できる特定のエンティティによって提供されていることを示す必要がある場合は、CAを作成し、それを証明書に使用します。
- それ以外の場合は、セキュリティトークン(SSL証明書のフィンガープリント、SSH / GPGフィンガープリントなど)を保持した後で安全な接続を確立し、変更された場合は注意してください。妄想的な場合は、最初の使用で、さまざまな場所から接続するか、数日間または別のチャネルで使用して指紋に問題がないことを確認します(最初の接続中のMITMの可能性は非常に低いため、それほど重要ではありません)確率-しかし、それでも無視できません)。
于 2010-12-23T21:03:02.753 に答える