为什么将 localhost 添加到 SAN 列表中被认为不安全?
Why adding localhost to SAN list in considered not secured?
请问关于证书的SAN列表。
目前,我有一个 Web 应用程序,其中启用了 mTLS、双向 TLS、双向 SSL。
我所有的客户都有有效的证书集,他们都通过了握手,并且在通过网络调用我的服务时能够获得响应负载。他们都很开心。
但是,作为开发人员,如果 mTLS 处于活动状态,当 运行 在 localhost.
上时,我无法进入我自己的服务
因此,我的第一反应是要求我的安全团队将 localhost 添加到 SAN 列表中。
但是,他们告诉我这不安全并且被认为是添加本地主机的不良做法。
我试着在网上查看文档,但没有找到任何具体的或我能理解的内容。
我不想为我的本地主机测试禁用 mTLS。我不想通过部署某种不安全的信任来欺骗这个过程。
我的问题:
- 为什么将本地主机添加为 SAN 列表中的条目被认为是不良做法且不安全?
- 那我如何测试部署在本地主机上的应用程序?
谢谢
Why adding localhost as entry in the SAN list is considered bad practice and unsafe?
公开颁发的证书应仅包含由拥有证书的一方完全控制的域。 localhost 不属于任何一方所有,因此不应属于 public CA 颁发的证书。但它可以是 self-signed 证书或由私人颁发的证书的一部分,即仅本地受信任的 CA,因为在这种情况下,证书的范围受限于对 CA 的信任范围。
How can I test the app deployed on my localhost then?
不完全清楚你到底想测试什么。但是您可以通过将映射添加到主机文件来使您的本地计算机显示为任何域。这样您就可以通过 public 域名而不是仅 localhost 在本地访问它。有关详细信息,请参见示例 Adding a website to hosts file and testing it。请注意,此更改仅影响本地计算机上的 DNS 查找,但这可能是您想要进行测试的内容。
请问关于证书的SAN列表。
目前,我有一个 Web 应用程序,其中启用了 mTLS、双向 TLS、双向 SSL。
我所有的客户都有有效的证书集,他们都通过了握手,并且在通过网络调用我的服务时能够获得响应负载。他们都很开心。
但是,作为开发人员,如果 mTLS 处于活动状态,当 运行 在 localhost.
上时,我无法进入我自己的服务因此,我的第一反应是要求我的安全团队将 localhost 添加到 SAN 列表中。
但是,他们告诉我这不安全并且被认为是添加本地主机的不良做法。
我试着在网上查看文档,但没有找到任何具体的或我能理解的内容。
我不想为我的本地主机测试禁用 mTLS。我不想通过部署某种不安全的信任来欺骗这个过程。
我的问题:
- 为什么将本地主机添加为 SAN 列表中的条目被认为是不良做法且不安全?
- 那我如何测试部署在本地主机上的应用程序?
谢谢
Why adding localhost as entry in the SAN list is considered bad practice and unsafe?
公开颁发的证书应仅包含由拥有证书的一方完全控制的域。 localhost 不属于任何一方所有,因此不应属于 public CA 颁发的证书。但它可以是 self-signed 证书或由私人颁发的证书的一部分,即仅本地受信任的 CA,因为在这种情况下,证书的范围受限于对 CA 的信任范围。
How can I test the app deployed on my localhost then?
不完全清楚你到底想测试什么。但是您可以通过将映射添加到主机文件来使您的本地计算机显示为任何域。这样您就可以通过 public 域名而不是仅 localhost 在本地访问它。有关详细信息,请参见示例 Adding a website to hosts file and testing it。请注意,此更改仅影响本地计算机上的 DNS 查找,但这可能是您想要进行测试的内容。