问Red Hat -接受自签名证书

EN

这本身不是一个编码/编程问题，但我认为这个答案在编写软件时可能同样有效，所以我还是会把它张贴出来。

默认情况下，在您正在使用的计算机系统或正在编写的软件中信任自签名证书是一个糟糕的想法。如果您接受所有证书，这将使中间人攻击变得微不足道。攻击者所需要做的就是向您提供一个自签名证书，并对流量进行解密和重新加密。

通常，对于这种情况，您需要创建自己的证书颁发机构，使用它对证书进行签名，并将其添加到/etc/ca-certificates.conf或Red使用的任何文件中。

如果您正在编写自己的软件，我还会跟踪给定主机提供的旧证书，这样如果证书发生了更改，我就会收到警告，因为我怀疑完全信任全局CA是否明智。

我要说的是以下是最佳实践：

对于您自己的服务或任何需要表明服务是由您信任的给定实体提供的服务的

1. ，请创建一个CA并将其用于certificates.
2. For任何其他内容，在保留安全令牌(SSL证书指纹、SSH/GPG指纹等)后建立安全连接，并在更改后小心。如果你是偏执狂，那么在第一次使用指纹时，请确保指纹是正常的，方法是从不同的地方连接，或者使用几天，或者通过其他渠道(这并不重要，因为在第一次连接期间发生MITM的可能性非常低-但仍然不能忽略)。