如何忽略服务器上的 TLS 证书答案

【问题标题】：How to ignore the TLS certificate on the server如何忽略服务器上的 TLS 证书
【发布时间】：2018-09-04 05:39:09
【问题描述】：

如果客户端不能用rootCA证书验证服务器的证书，服务器能否通过认证？

【问题讨论】：

如果客户端无法验证服务器证书/链，则断开连接是客户端的责任——而不是服务器的； 服务器无法告诉/强制客户端接受无效证书。
另外，这是特定于客户端/实现的，并且没有指定客户端/实现。即使是不同的浏览器也允许不同级别的能够忽略/绕过错误配置或过期的证书（比较新的 Chrome 版本，与例如 IE 相比，这是相当“限制性”的）。这种绕过是由用户完成的显式请求/操作；尽管一些较旧的浏览器版本仍然更容易接受有问题的证书（并且通常会显示“安全警告”而不需要明确的用户操作来继续）。

【解决方案1】：

如果服务器只能指示客户端忽略任何证书问题，那将是非常不安全的。服务器证书的验证由客户端完成，以确保它实际上与预期的服务器对话，而不是与某些中间人攻击者对话。如果服务器可以指示客户端忽略证书问题，那么中间人攻击者也可以这样做，这意味着中间人攻击很容易。

【讨论】：