Tengo una idea estúpida / loca sobre la que quería preguntar aquí. Probablemente no va a funcionar, pero tengo curiosidad.
La seguridad del navegador no permitirá sockets web inseguros (ws: //) desde páginas seguras (https: //) por varias razones. Me gustaría crear una aplicación que permita a los sitios web seguros acceder a muchas cosas diferentes a través de WS, y no quiero tener que crear certificados SSL para todo.
Entonces ...
Crazy hack: obtenga un certificado comodín para un dominio (por ejemplo, insecureashell.net) y configure los servidores DNS para que sirvan IP codificadas en nombres de host bajo ese dominio. Entonces, por ejemplo, 1.1.1.1.insecureashell.net se resolvería en 1.1.1.1.
Luego distribuya la clave privada para este certificado de comodín en todas partes, permitiendo que todas las aplicaciones se muestren como "seguras" desde los navegadores haciendo wss: //1.1.1.1.insecureashell.net/ connections.
Supongo que asumiendo esto viola algún tipo de política de manejo de certificados en las reglas https CA y obtendría este certificado revocado, pero no puedo encontrar nada al respecto. Tampoco puedo pensar en una razón por la que esto sea intrínsecamente malo, ya que solo se aplicaría a este dominio "falso SSL" específico y en ningún otro lugar de la red. Los encabezados CORS podrían usarse para permitir o denegar esto, etc.
Entonces, ¿por qué no funciona esto? :)
Editar: tal vez lo hará. Al parecer, existen certificados SSL privados para dominios que se resuelven a 127.0.0.1 en GitHub: enlace