من همیشه این درد را برای ایجاد یک کلید جدید برای توسعه پیدا می کنم و من فکر می کردم که این کار را برای خودم انجام دهم و به دیگر توسعه دهندگان کمک کنم:
- ثبت دامنه مانند
fakesite.com [19659003] دریافت یک گواهی SSL معروف - هر دو فایل های گواهی و کلید خصوصی را در اختیار عموم قرار می دهد
- سایت های خود را به صورت محلی تست کنید با اضافه کردن مطالب به فایل های میزبان من برای هر چیزی که می خواهم تست کنم (یعنی api.fakesite.com، www .fakesite.com، و غیره) یا اشاره به 127.0.0.1 یا ip من در شبکه محلی من و با استفاده از گواهی عمومی و کلید خصوصی.
fakesite.com تمام زیردامنه ها را به یک صفحه در وب سایت اصلی که می تواند توضیح دهد چه چیزی برای آن بود. گواهی واقعی و کلید خصوصی در جاهای دیگر مانند یک مخزن Github قابل دسترسی خواهد بود.
تنها مشکلی که می توانم از آن بپرسم
1) مهاجم می تواند یک حمله MITM را تغییر مسیر DNS خود را به وب سایت خود، که آنها میتواند با استفاده از کلید خصوصی خصوصی در دسترس عموم قرار بگیرد و شما را در مرور به یک صفحه وب مانند 'citibank.fakesite.com' و ورود اطلاعات خود متمرکز سازد.
2) به عنوان یک توسعه دهنده، یک URL را از بین میبرد و ارسال میکنم ترافیک به apu.fakesite.com، که مانند بالا استفاده می شود، بنابراین می توانند ترافیک را که من برای ارسال به کامپیوتر محلی خود می گیرم، ضبط کنم.
این به نظر من به عنوان یک توسعه دهنده برای من امن تر از ایجاد یک گواهی خود امضا با استفاده از ابزارهای قابل دسترس عمومی و داشتن کلید بر روی هارد دیسک من برای استفاده از ابزارهای من است. اگر کسی این کار را می کرد، می توانست هر وبسایتی را برای من فریب دهد زیرا من باید به آن اعتماد کنم، درست؟
با استفاده از مکان هایی مانند leakencrypt برای مجوز، می توان گفت گواهی / کلید من فقط برای این یک دامنه است که باید فقط برای تست و توسعه محلی مورد استفاده قرار گیرد.
آیا مسائلی وجود دارد که من فکر نمی کنم یا به احتمال زیاد به احتمال زیاد این یک ایده بد است؟
