Можно ли повторно использовать SSL-сертификат на локальном компьютере с тем же (локально настроенным) URL-адресом?

Question

Вот возможный сценарий.

Допустим, у меня есть веб-сайт "https://www.mywebsite.com", и для этого домена приобретен действительный сертификат SSL.

Я хочу "подражать" этому веб-сайту на моей локальной машине для целей тестирования.

Итак, допустим, я настроил локально настроенный "https://www.mywebsite.com" (который по сути https://localhost/mywebsite или что-то подобное).

Смогу ли я повторно использовать сертификат SSL на своем локальном веб-сайте тестирования?

Answer 1

Вы можете повторно использовать свой SSL-сертификат, если настроите DNS так, чтобы на вашем тестовом компьютере использовалось то же доменное имя, что и на сервере, что, вероятно, является плохой идеей.

Вы также можете повторно использовать его на своем тестовом компьютере, если не возражаете, щелкнув по полю «принять этот извлеченный сертификат ssl» ... Так что я полагаю, что технически да, хотя я бы не стал сделай это.

Answer 2

Это зависит от того, что вы пытаетесь протестировать и зачем вам нужен сертификат для тестирования.

Если вы используете сертификат, он будет правильно шифровать соединения с использованием SSL, но любой клиент получит ошибку несоответствия сертификата. Если вместо этого вы используете самозаверяющий сертификат, большинство клиентов будут предупреждать вас об этом, поэтому он может быть таким же раздражающим или нет.

Если вы тестируете, например, сценарий развертывания, чтобы убедиться, что все установлено в нужном месте, он будет работать. Если вы проверяете, правильно ли ваш код перенаправляет небезопасное соединение на защищенное, оно будет работать.

Если вы хотите проверить свой веб-сайт на функциональность, удобство использования, ошибки и т. Д., То ваши тестеры, скорее всего, будут жаловаться на предупреждения или ошибки сертификата, и вам, вероятно, лучше заняться чем-то другим.

Answer 3

Я не эксперт по DNS, но это может привести к серьезной уязвимости.

По сути, если бы это было разрешено, отравление DNS могло бы быть использовано для уничтожения всей цели доверия третьих сторон.

Подумайте об этом:

Я заражаю ваш компьютер, чтобы при переходе на www.amazon.com он преобразовывал www.amazon.com в другой домен. Этот домен использует ssl-сертификат amazon, чтобы заставить вас думать, что это законно, поэтому вы отправляете мне информацию о своей кредитной карте.

Итак, ответ на ваш вопрос: нет, вы не можете этого сделать. Вы по-прежнему будете получать ошибки. Я предполагаю, что где-то в цепочке проверок он сравнивает домен, который инициировал запрос, с тем, что его внутренний DNS разрешает домен, чтобы проверить, есть ли совпадение.

Как уже говорили другие, вы можете протестировать SSL с помощью Самоподписанного сертификата, вам просто нужно дать указание своим тестировщикам импортировать сертификат или решить проблему создания собственного доверенного ЦС, и заставить тестировщиков добавить этот ЦС в качестве доверенный CA.

Нет смысла красть другие сайты SSL-сертификат.

Конечно, вы можете использовать уязвимость в MD5 для создания собственного действительного сертификата SSL.

http://www.digicert.com/news/2009-01-05-md5-ssl.htm

Answer 4

Вы не можете использовать его, так как сертификат SSL привязан к домену www.mywebsite.com, если вы не сделаете небольшую хитрость.

Вы можете поместить запись в свой файл hosts, говоря, что домен имеет 127.0.0.1, но это не идеально, так как вы больше не можете попасть на сайт.

Если вам просто нужен действующий сертификат для тестирования, то лучшей альтернативой является самоподписывание с использованием IIS Resource Kit .

Answer 5

Я не уверен, так как сертификат SSL связан с доменным именем, которое было зарегистрировано с сертификатом. Но вы можете дублировать сертификат, отредактировав файл hosts, изменив localhost 127.0.0.1 на mysite.com 127.0.0.1, ... по крайней мере в теории ... если нет, то это вопрос для serverfault.com.

Надеюсь, это поможет, С наилучшими пожеланиями, Том.