Node.js没有主机名验证的TLS连接
我正在玩一群相互连接的“节点”,我真正关心的是它们彼此安全连接并且都经过身份验证。
为此,我认为TLS模块非常适合。我创建了一个CA并签署了一堆证书,每个节点一个。然后我遇到了证书现在针对节点连接的主机进行验证的问题。
是否有可能以某种方式禁用或解决Common Name验证?
这个设置有什么根本性的缺陷吗?
我是否正确,只要这些证书由我的CA签名,连接应该是安全的,我确定只有我的节点可以连接?
看起来只是一个烦恼,必须签署锁定到主机名或IP(或多个接口的情况下)的证书。我已经了解到验证主机的要求实际上不是TLS的一部分,而是HTTPS - 从这个角度来看,默认情况下这可能是一个Node.js错误吗?
回答如下:是否有可能以某种方式禁用或解决Common Name验证?
这可以通过将checkServerIdentity的tls.connect选项设置为无操作函数来实现:
const tls = require('tls')
tls.connect({
checkServerIdentity: () => undefined,
...
})
资料来源:
- https://nodejs/api/tls.html#tls_tls_checkserveridentity_host_cert
- https://github/nodejs/node/blob/df63e534584a54dcf02b37446e1e821382e3cef3/lib/tls.js#L168-L231
- https://github/nodejs/node/blob/79261f3003719264bc03f6a5b54cf9eddbc8b48e/lib/_tls_wrap.js#L1046