Creando un certificado autofirmado para localhost y confiando completamente

3

Como complemento de una aplicación web, planeamos tener una aplicación de nodo ejecutándose como un servicio de Windows ejecutándose en la computadora cliente. Esto ejecutará un pequeño servidor web que escuchará en el puerto XXXX la información enviada desde la aplicación web (de modo que la aplicación web realizará una POST de Ajax a http://localhost:XXXX ). La aplicación de nodo tiene acceso para hacer cosas que una aplicación basada en navegador no puede, así que nos ayuda con ciertas integraciones.

El problema es que la aplicación web se ejecuta como https y no permitirá que se realice una solicitud POST a nuestro servicio http que se ejecuta localmente.

Mis preguntas son:

  1. ¿Es posible crear un certificado autofirmado para https://localhost para que el usuario no tenga que confiar en el certificado cada vez que inicie sesión en la computadora?

He intentado crear el certificado autofirmado y agregarlo a la lista de autoridades confiables, pero todavía tengo que buscar el http://localhost:XXXX en un navegador y elegir confiar en el certificado antes de que la aplicación web se comunique correctamente. con la aplicación de nodo.

  1. ¿Hay alguna otra forma de evitar esto?
pregunta Neil 29.04.2016 - 10:36
fuente

1 respuesta

1

En cuanto a la primera parte de su pregunta. la respuesta es NO , y todos los que dicen que se olvidan que eso también significa romper las capas esenciales de seguridad en el dispositivo.

en cuanto a la segunda es posible pero muy dudoso de hacerlo. La forma de hacerlo es comprando un certificado para un dominio (como localapp.example.com) y tiene su punto de entrada DNS a 127.0.0.1. y luego compartir la clave y el certificado con la aplicación.

Eso sí, esto rompe efectivamente la capa de seguridad que proporciona TLS ya que la clave está ahora en la misma máquina que el cliente. y cualquier persona con acceso a la máquina puede escuchar esa parte de la conversación y usar su certificado para configurar el servicio propio en su lugar.

Le recomendaría que obtenga un NUEVO dominio para este propósito y tenga en cuenta que esta configuración es solo para que pueda usar su aplicación web junto con sus otros servicios web. Los cuales ahora son vulnerables a más ataques de inyección debido a que usted tiene un servicio web local que forma parte de la aplicación completa.

    
respondido por el LvB 29.04.2016 - 11:06
fuente

Lea otras preguntas en las etiquetas