Обходим проверку сертификата SSL

[DjPhoeniX]

Простите, но чем это лучше локально созданного CA, добавленного в систему как "доверенный"? Для локальной разработки, наверное, самое удобное решение, потому что никак не ломает привычную работу с сайтами, и никаких манипуляций с браузерами производить не требуется — они работают как всегда.

[BlackStar1991]

Согласен, хотя я наверное в «локальное» тестирование вложил значение, что сайт хоститься на каком-то удаленном сервере, но без привязки к домену, ну это, когда к нему можно достучаться только через C:\Windows\System32\drivers\etc\hosts указав правильный адрес

[unsignedchar]

Почему для тестирования просто не развернуть тестовый сервер с тестовым доменом?

[justhabrauser]

Исходя из принципа "ничто так не постоянно, как временное" можно добавить локальный левый сертификат, забыть об этом (естественно) и в нужный момент не получить нужного предупреждения.
Вариант автора "решить проблему здесь и сейчас временно" достаточно неплохой.
PS. Удивляет, правда, что автор работает в мире Chrome only, но то такое. Надеюсь со временем пройдет.

[DjPhoeniX]

Ну если автор говорит о действительно локальной разработке (или, как он упомянул выше — через hosts без домена), то можно предположить, что сайт в дальнейшем будет переезжать на «боевой» хостинг с не менее боевым доменом. То-есть замена сертификата так или иначе произойдёт.

[unclejocker]

Осмелюсь предположить, по упоминанию hosts выше, что автор поднимает сайт на IP, а у себя в hosts прописывает «боевой» домен…

[kma21]

Не могли бы вы пояснить один момент для меня.
Допустим, я импортировал в системное хранилище доверенных сертификатов свой самоподписной корневой серт. Потом этим самоподписным корневым сертом я подписал серт для тестового сайта.
Поразрабатывал, потестил и забыл. Самоподписной сертификат остался в системе.
Потом случается обозначенная ситуация — я перехожу на вредный сайт, который имеет такой же домен как и мой тестовый сайт и я доверяю этому домену, т.к. у меня для него есть доверенный сертификат. Ок.
Но ведь у вредного сайта нет секретного ключа и SSL-соединение должно развалиться и браузер должен будет ругнуться. разве нет?

[DjPhoeniX]

Именно так. Вы доверяете только корневому сертификату, который создали сами (и дочерним сертификатам). «Злой» сайт ничего о вашем CA не знает, и у него сертификат будет другой. И ваша система ему доверять не будет.

Другой вопрос, что реальный «злой» сайт может сделать полноценный сертификат (платный или бесплатный — неважно). И с доверием к нему проблем не будет.

[kma21]

Тогда я не могу понять, в чём проблема создания и забывания сампоподписных сертификатов?
Что я создал самоподписной сертификат для my-domain.org с целью тестирования, а потом забыл про это. Через некоторое время перешёл на реальный сайт с таким именем и мой браузер ругнётся на сертификат? Ведь фактически в хранилище сертификатов у меня на компе будет мой самоподписной (ещё со времён тестирования), а реальный сайт мне будет предлагать совсем другой.
Если такая ситуация будет, то, вероятно, это будет отображено в ошибке и я смогу понять это как-то?

[unsignedchar]

Тогда я не могу понять, в чём проблема создания и забывания сампоподписных сертификатов?

Ни в чём. Но это ж нужно этот самый CA поднимать, ключи куда-то копировать… Слоожно…

[kma21]

Вот тут сказано, что можно не получить предупреждения об сертификате.
Я и пытаюсь понять, при каких обстоятельствах это может произойти и чем это может быть опасно.

[andreymal]

Ни при каких, тот комментарий не соответствует действительности. Зато наоборот, забыть убрать опцию --ignore-certificate-errors и получить проблемы с безопасностью как раз очень даже можно. Так что я себе тоже давно создал локальный CA и радуюсь жизни с тестовыми сайтами на https

[Oldshelf]

Ещё один вариант (пользуюсь им во всех браузерах) — сделать локальный сайт доступным по http. Для этого можно, например, помечать user_agent на сервере каким-нибудь знаком, а в CMS делать проверку: if (strstr ($_SERVER [«HTTP_USER_AGENT»], " — token")) то протокол=http;

[StudioMaX]

Для локальной разработки сайтов на https есть прекрасный mkcert — github.com/FiloSottile/mkcert
Один раз установили, автоматически создали CA и используем его на всех своих устройствах, в том числе на iOS и Android для своих тестовых доменов.

[freejoins]

А еще есть XCA и статься на хабре XCA – удостоверяющий центр уровня предприятия или сага о русских и немецких программистах инструментов куча. Просто некоторым лень этим заниматься, им проще флаг в ярлыке запуска браузера поставить.

[BlackStar1991]

В чем смысл оставлять комментарий если вы не сталкиваетесь с данной проблемой? Если вы живете в радужном мире где админы катаются на единорогах и даже на тестовые сайты готовы с радостью разворачивать https? Особенно когда сайтов > 100 =)

[DjPhoeniX]

Привет. Я катаюсь на единорогах держу 40+ сайтов на одном выделенном сервере (за 300р/мес) и выпускаю всем https через LE (скриптом в авторежиме). Проблем — ноль :)

[unsignedchar]

админы катаются на единорогах и даже на тестовые сайты готовы с радостью разворачивать https

Есть подозрение, что админа у вас нет. Это вроде как его работа, сайты разворачивать.

[medigor]

Сталкивался раньше тоже, перепробовал кучу всего, самый удобный (и безопасный!!!) — бесплатный сертификат от letsencrypt

[9660]

Для LE нужен реальный домен. Судя по автору он немного из другой области, разработка на коленке и все такое.
Правильный вариант либо купить домен, либо поднять свой ЦА, все прочее это прикапывание грабель по пляжу.

[ashumkin]

— Все хромоподобные браузеры (Chrome, Opera, Edge …) могут открыть небезопасную веб страницу, если на английской раскладке клавиатуры набрать фразу:

thisisunsafe

Спасибо! помогло, когда у домена протух сертификат по времени ) утром он ещё был живой, а в обед — уже всё...