Есть ли способ заставить систему Red Hat Linux доверять самозаверяющему сертификату?
например wget https://example.com - выдает ошибку о том, что сертификат не является доверенным, поскольку "https://example.com" самоподписанный сертификат; с wget '--no-check-certificate' может отменить проверку сертификата. Но я хотел бы заставить Red Hat неявно доверять самозаверяющему сертификату - есть ли способ сделать это?
Спасибо.
Это не вопрос кодирования / программирования как таковой, но я полагаю, что этот ответ может быть в равной степени верным при написании программного обеспечения, поэтому я все равно опубликую его.
Доверять самозаверяющим сертификатам по умолчанию в используемой вами компьютерной системе или программном обеспечении, которое вы пишете, — ужасная идея. Если вы примете все сертификаты, это сделает атаку человека посередине тривиальной. Все, что нужно сделать злоумышленнику, — это предоставить вам самозаверяющий сертификат, а также расшифровать и повторно зашифровать трафик.
Обычно для таких ситуаций вам нужно создать свой собственный центр сертификации, подписать с его помощью свои сертификаты и добавить его в /etc/ca-certificates.conf или что-то еще, что использует Red Hat.
Если бы вы писали собственное программное обеспечение, я бы также отслеживал старые сертификаты, предоставленные данным хостом, чтобы меня предупреждали, если они изменились, потому что я сомневаюсь, что полностью доверять глобальным центрам сертификации разумно.
Я бы сказал, что это лучшая практика:
