我们有一个在Tomcat上运行的Web服务应用程序。
这是SSL保护的。我们需要将我们的公钥共享给每个尝试访问我们 Web 服务的客户端。是否可以禁用信任证书验证?
默认情况下,所有 TLS 客户端都应验证它们所连接的服务器。任何其他默认行为都是危险的。
客户端是在单向 TLS 握手中执行验证的一方(即,当没有执行客户端身份验证时,客户端还向服务器提供证书(。
只有两种方法可以避免将服务器的证书分发给所有可能的客户端:
- 获取由受信任的证书颁发机构 (CA( 签名的服务器证书
- 修改所有可能的客户端以忽略证书的任何问题(例如不信任它(
如今,有了免费的域名证书,例如Let's Encrypt,不使用由合法CA签名的证书是愚蠢的。