Как отключить проверку SSL для любого запроса?

Question

У меня запущена служба Node.JS, которую я пытаюсь подключить из другой системы.В настоящее время используется POSTMAN для тестирования сервиса.Почтальон выдает ошибку - There was an error connecting to https://lddbbtx.wdf......./index.xsjs. Теперь я повторил запрос, отключив опцию «Проверка сертификата SSL» в Почтальоне, и, похоже, он работает.Я могу получить ответ от службы.

Но на производстве мы будем использовать Recast.AI для подключения к этой службе.В Recast они предоставляют средства для установки заголовков для запросов GET / POST.Итак, я хотел знать, есть ли способ отключить проверку SSL в заголовке запроса?

Answer 1

... есть ли способ отключить проверку SSL в заголовке запроса?

Проверка сертификата сервера выполняется на стороне клиента.Это делается во время рукопожатия TLS и, таким образом, перед отправкой любого HTTP-запроса.Отключение проверки не может быть инициировано сервером, так как в противном случае человек из среднего атакующего мог просто дать указание жертве не проверять сертификат.

В целом - отключение проверки или даже части проверки (например, проверка имени хоста вURL соответствует сертификату) очень плохая идея.С отключенной проверкой сертификата транспорт все еще зашифрован, но клиент не проверяет, действительно ли он связывается с ожидаемым сервером.Таким образом, злоумышленник может сделать простой человек в середине атаки, чтобы выдать себя за сервер и, таким образом, перехватить и также изменить весь трафик.