certificado SSL para pruebas

2

Estoy creando una aplicación de nodo / expreso, y para probar rutas https, me gustaría incluir una clave privada y un certificado ssl ficticios en el repositorio. Esto es para que el otro desarrollador, que está trabajando principalmente en el estilo y el marcado, pueda ejecutar la aplicación en su propia máquina sin tener que crear y configurar una clave y certificarse.

Cuando el servidor está configurado para desarrollo, usaría el certificado ficticio, y cuando esté configurado para producción, usaría variables de entorno para encontrar el certificado del cliente.

¿Hay algún problema con esta idea desde el punto de vista de la seguridad?

    
pregunta Dan Ross 30.10.2013 - 10:35
fuente

1 respuesta

2

No hay ningún problema teórico con el uso de certificados de prueba para las pruebas, siempre que aplique alguna protección externa adecuada (por ejemplo, las pruebas utilizan un servidor de prueba que no es accesible, desde el punto de vista del firewall, desde el exterior). La experiencia muestra, sin embargo, que las características de prueba tienden a filtrarse a la producción. Si un desarrollador debe recordar que debe cambiar las configuraciones de certificado cuando vaya a producción, entonces es probable que, en algún momento, lo olvide, y un certificado de prueba con una clave no realmente privada será desplegado en producción.

Por lo tanto, sería mejor si incluyes algún tipo de protección contra fallas. Por ejemplo, en su código de inicialización, la aplicación podría probar si el certificado a usar es el dummy o no, y si este es el dummy, cambiar una característica visible de la aplicación (por ejemplo, poner un borde rojo alrededor de la pantalla, o algo así como que).

    
respondido por el Tom Leek 30.10.2013 - 15:14
fuente

Lea otras preguntas en las etiquetas