是这样的,项目中用了 kong 作为代理,被安全扫描出漏洞,说是用了自签证书( kong 默认的 localhost )。
那么这种通过 ip 访问的场景,应该返回什么证书呢?
1
flowfire 2020-08-27 10:59:11 +08:00
预期行为是返回被受信任的根证书签发机构签发的证书。
不过一般来说让受信任的根证书签发机构签发 ip 证书比让他签发域名证书难很多就是了。 具体参考 https://1.1.1.1 |
5
virusdefender 2020-08-27 11:11:38 +08:00
自签名证书不一定是漏洞吧
|
6
hhgfy OP @virusdefender 虽然完全没用上,但安全那边就是标了个警告。。。
|
7
flowfire 2020-08-27 11:15:38 +08:00
我觉得要不你直接给个链接看看
|
9
flowfire 2020-08-27 11:31:30 +08:00
@hhgfy #8 你这个就是因为证书不被信任啊。
简单地方法就是买个域名,把域名解析上去,然后去 let's encrypt 申请个免费的证书。然后用域名访问。 如果你一定要用 https + ip 访问的话,我也不知道哪家证书卖这种的。 反正 纯 ip + https 是可行的,参考这个 https://106.54.251.56/ |
10
lanternxx 2020-08-27 11:33:47 +08:00
需要 IP 证书可以联系我 129 一年
|
11
takemeaway 2020-08-27 11:35:20 +08:00
@hhgfy 买 IP 证书即可
|
12
xJogger 2020-08-27 11:36:45 +08:00 via Android
给 IP 签证书需要证明自己拥有这个 IP,拥有 IP 的前提是需要有自己的 ASN 号码,一般买服务器带的那个 IP 都是只有使用权的,所以没法签证书。
我也只是大概知道,说的可能不准确。 |
13
lanternxx 2020-08-27 11:37:02 +08:00 1
效果参考:
https://112.124.31.113/ |
15
Showfom 2020-08-27 11:40:46 +08:00 via iPhone 1
@xJogger 老早就不需要 ov 了 现在 dv 就可以申请 ip 证书 只要 http 验证证明你能用这个 ip 即可
另外 common name 必须要带一个域名, 参考我自己申请的 https://45.9.9.9/ |
18
whywhywhy 2020-08-27 13:40:12 +08:00
一直想问个问题,JS 能获取当前连接 SSL 证书是可信状态还是不可信状态吗?
|
19
pinews 2020-08-27 14:56:46 +08:00 1
1 、跳转到域名
2 、禁止访问 3 、不支持的访问方式 |