Làm thế nào để thực hiện một yêu cầu https với chứng chỉ xấu?

Nói rằng tôi muốn có được https://golang.orglập trình. Hiện tại golang.org (ssl) có chứng chỉ xấu được cấp cho*.appspot.com Vì vậy khi tôi chạy này:

package main

import (
    "log"
    "net/http"
)

func main() {
    _, err := http.Get("https://golang.org/")
    if err != nil {
        log.Fatal(err)
    }
}

Tôi nhận được (như tôi mong đợi)

Get https://golang.org/: certificate is valid for *.appspot.com, *.*.appspot.com, appspot.com, not golang.org

Bây giờ, tôi muốn tự tin vào chứng chỉ này (hãy tưởng tượng chứng chỉ tự cấp nơi tôi có thể xác thực dấu vân tay, v.v.): làm thế nào tôi có thể đưa ra yêu cầu và xác thực / tin cậy chứng chỉ?

Tôi có lẽ cần phải sử dụng openssl để tải chứng chỉ, tải nó vào tập tin của mình và điền vào tls.Configstruct!?

Lưu ý bảo mật: Vô hiệu hóa kiểm tra bảo mật là nguy hiểm và nên tránh

Bạn có thể tắt kiểm tra bảo mật trên toàn cầu cho tất cả các yêu cầu của máy khách mặc định:

package main

import (
    "fmt"
    "net/http"
    "crypto/tls"
)

func main() {
    http.DefaultTransport.(*http.Transport).TLSClientConfig = &tls.Config{InsecureSkipVerify: true}
    _, err := http.Get("https://golang.org/")
    if err != nil {
        fmt.Println(err)
    }
}

Bạn có thể vô hiệu hóa kiểm tra bảo mật cho một khách hàng:

package main

import (
    "fmt"
    "net/http"
    "crypto/tls"
)

func main() {
    tr := &http.Transport{
        TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
    }
    client := &http.Client{Transport: tr}
    _, err := client.Get("https://golang.org/")
    if err != nil {
        fmt.Println(err)
    }
}

Đây là một cách để làm điều đó mà không làm mất các cài đặt mặc định của DefaultTransportvà không cần yêu cầu giả theo nhận xét của người dùng.

defaultTransport := http.DefaultTransport.(*http.Transport)

// Create new Transport that ignores self-signed SSL
customTransport := &http.Transport{
  Proxy:                 defaultTransport.Proxy,
  DialContext:           defaultTransport.DialContext,
  MaxIdleConns:          defaultTransport.MaxIdleConns,
  IdleConnTimeout:       defaultTransport.IdleConnTimeout,
  ExpectContinueTimeout: defaultTransport.ExpectContinueTimeout,
  TLSHandshakeTimeout:   defaultTransport.TLSHandshakeTimeout,
  TLSClientConfig:       &tls.Config{InsecureSkipVerify: true},
}

CẬP NHẬT

Đường ngắn hơn:

customTransport := &(*http.DefaultTransport.(*http.Transport)) // make shallow copy
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}

Cách đúng (kể từ Go 1.13) (được cung cấp bởi câu trả lời bên dưới ):

customTransport := http.DefaultTransport.(*http.Transport).Clone()
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}

Cảnh báo : Chỉ dành cho mục đích thử nghiệm / phát triển. Bất cứ điều gì khác, tiến hành có nguy cơ của riêng bạn !!!

Tất cả những câu trả lời đều sai! Không sử dụng InsecureSkipVerifyđể đối phó với một CN không khớp với tên máy chủ. Các nhà phát triển Go không chính xác kiên quyết về việc không vô hiệu hóa kiểm tra tên máy chủ (có sử dụng hợp pháp - đường hầm, nats, chia sẻ cụm, v.v.), trong khi cũng có một cái gì đó trông tương tự nhưng thực sự hoàn toàn bỏ qua kiểm tra chứng chỉ. Bạn cần biết rằng chứng chỉ hợp lệ và được ký bởi một chứng chỉ mà bạn tin tưởng. Nhưng trong các tình huống phổ biến, bạn biết rằng CN sẽ không khớp với tên máy chủ mà bạn đã kết nối. Đối với những người, thiết lập ServerNametrên tls.Config. Nếu tls.Config.ServerName== remoteServerCN, thì kiểm tra chứng chỉ sẽ thành công. Đây là cái bạn muốn. InsecureSkipVerifycó nghĩa là KHÔNG có xác thực; và nó đã chín muồi cho một Man-In-The-Middle; đánh bại mục đích sử dụng TLS.

Có một cách sử dụng hợp pháp cho InsecureSkipVerify: sử dụng nó để kết nối với máy chủ và lấy chứng chỉ của nó, sau đó ngắt kết nối ngay lập tức. Nếu bạn thiết lập mã của mình để sử dụng InsecureSkipVerify, thông thường là do bạn đã không đặt ServerNameđúng (nó sẽ cần đến từ một var env hoặc một cái gì đó - đừng đau bụng về yêu cầu này ... hãy làm điều đó một cách chính xác).

Cụ thể, nếu bạn sử dụng certs của khách hàng và dựa vào chúng để xác thực, về cơ bản bạn có một thông tin đăng nhập giả mà không thực sự đăng nhập nữa. Từ chối mã đó InsecureSkipVerify, hoặc bạn sẽ học được những gì sai với nó một cách khó khăn!

Cách chính xác để thực hiện việc này nếu bạn muốn duy trì cài đặt vận chuyển mặc định là ngay bây giờ (kể từ Go 1.13):

customTransport := http.DefaultTransport.(*http.Transport).Clone()
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}
client = &http.Client{Transport: customTransport}

Transport.Clone tạo một bản sao sâu sắc của giao thông vận tải. Bằng cách này, bạn không phải lo lắng về việc bỏ lỡ bất kỳ trường mới nào được thêm vào Transportcấu trúc theo thời gian.

Nếu bạn muốn sử dụng các cài đặt mặc định từ gói http, vì vậy bạn không cần tạo đối tượng Giao thông và Máy khách mới, bạn có thể thay đổi để bỏ qua xác minh chứng chỉ như sau:

tr := http.DefaultTransport.(*http.Transport)
tr.TLSClientConfig.InsecureSkipVerify = true

Nói chung, Tên miền DNS của URL PHẢI khớp với Chủ đề chứng chỉ của chứng chỉ.

Trước đây, điều này có thể bằng cách đặt tên miền là cn của chứng chỉ hoặc bằng cách đặt tên miền làm Tên thay thế chủ đề.

Hỗ trợ cho cn không được chấp nhận trong một thời gian dài (kể từ năm 2000 trong RFC 2818 ) và trình duyệt Chrome thậm chí sẽ không xem cn nữa, vì vậy hôm nay bạn cần phải có Tên miền DNS của URL làm Tên thay thế chủ đề.

RFC 6125 cấm kiểm tra cn nếu có SAN cho Miền DNS, nhưng không có nếu SAN cho Địa chỉ IP có mặt. RFC 6125 cũng nhắc lại rằng cn không được dùng trong RFC 2818. Và Diễn đàn Trình duyệt Chứng nhận sẽ có mặt kết hợp với RFC 6125 về cơ bản có nghĩa là cn sẽ không bao giờ được kiểm tra tên miền DNS.