红帽 - 接受自签名证书

Question

有没有办法让 Red Hat Linux 机器信任自签名证书？

例如 wget https://example.com - 给出一个错误，表明证书不受信任，为“https://example.com”拥有自签名证书；使用 wget '--no-check-certificate' 可以覆盖证书检查。但我想让红帽隐式信任自签名证书 - 有没有办法做到这一点？

谢谢。

Answer 1

这本身不是一个编码/编程问题，但我认为这个答案在编写软件时可能同样有效，所以我无论如何都会发布它。

在您正在使用的计算机系统或您正在编写的软件中默认信任自签名证书是一个糟糕的主意。如果您接受所有证书，那么中间人攻击就会变得微不足道。攻击者所需要做的就是向您提供自签名证书，并对流量进行解密和重新加密。

通常，对于这种情况，您需要创建自己的证书颁发机构，用它签署您的证书，并将其添加到 /etc/ca-certificates.conf 或 Red Hat 使用的任何内容。

如果您正在编写自己的软件，我还会跟踪给定主机提供的旧证书，这样如果它已更改，我就会收到警告，因为我怀疑完全信任全局 CA 是否明智。

我认为以下是最佳实践：

1. 对于您自己的服务，或者对于需要表明服务是由您信任的给定实体提供的任何内容，请创建一个 CA 并将其用于证书。
2. 对于其他任何事情，在保留安全令牌（SSL 证书指纹、SSH/GPG 指纹等）后建立安全连接，并警惕它是否已更改。如果您很偏执，请在第一次使用时通过从不同位置连接或使用几天或通过其他渠道来确保指纹没问题（这并不重要，因为首次连接期间出现 MITM 的可能性非常低）概率 - 但仍然不可忽略）。