【问题标题】:Self sign certificate for external website外部网站的自签名证书
【发布时间】:2019-03-01 20:37:28
【问题描述】:

某些网站的 TLS 握手确实很慢。 (让它成为 www.example.com)(我不拥有该网站)

我在想如果我可以为 www.example.com 自己签名证书,这可以加快进程(类似于 wget 中的 --no-check-certificate)

PS:我知道相关的潜在安全风险。

【问题讨论】:

  • 您的问题到底是什么?对于它的价值,我 1) 令人惊讶的是 TLS 握手速度很慢。我会弄清楚为什么会这样并解决它。 2)我不相信自签名证书会修复握手性能。握手的大部分“慢”部分是临时密钥生成和一些网络往返,这两者都不是自签名证书地址 3)如果您意识到安全风险,那么您为什么要使用 TLS?自签名证书并使用 --no-check-certificate 意味着任何人都可以 MITM 握手并出示此自己的证书。
  • @vcsjones 实际上该网站是 github.com,问题仅出在我们的网络提供商。我尝试过不同的系统、操作系统和浏览器。有没有办法为特定网站禁用 SSL 以加快网站加载速度?

标签: ssl openssl ssl-certificate tls1.2


【解决方案1】:

您不能直接为与您无法控制的网站的 TLS 握手提供自己的证书。

但是您可能有一些 SSL 拦截代理,其中此 MITM 代理和客户端之间的连接由您的自定义证书进行身份验证。只是,代理和服务器之间的连接仍然通过服务器原始证书进行身份验证,因此您可能只是将慢速握手问题从客户端转移到代理,但最终会受到同样的影响。

【讨论】:

  • 我已经验证了网站显示的证书。它与最初发布的相同。我认为这消除了 ssl 拦截的可能性
  • @user56036:我不建议将 SSL 拦截作为攻击,而是作为使用您自己的证书进行客户端连接的一种方式。
猜你喜欢
  • 1970-01-01
  • 2017-12-29
  • 2016-12-29
  • 1970-01-01
  • 2015-04-16
  • 1970-01-01
  • 1970-01-01
  • 2014-05-19
  • 1970-01-01
相关资源
最近更新 更多