我的理解是,有三种方法可以为 HTTPS 设置内联网 Web 服务器(仅限本地网络)。
- 自签名 SSL 证书。缺点:浏览器通常不喜欢这些。至少会有很多难看的警告。
- 创建自己的 SSL 证书颁发机构。缺点:您必须手动安装 CA每一个访问该网站的单个设备(假设在您遇到的每个平台上都是可能的。)
- 购买一个真实的(外部)域名并获取一个涵盖仅存在于内部 DNS 中的子域的 SSL 证书。
在我看来,选项 1 和 2 根本行不通,因为用户体验非常糟糕。选项 3 也非常不理想,原因有几个。首先,它需要你花钱并不断更新域名。假设你设想每个人和他们的母亲都想使用这个 Web 应用程序(我的意思是在他们的私人网络上运行他们自己的本地版本)。这就要求每个想要运行这个应用程序的人都注册一个域名。这是一个相当大的要求和进入门槛。
我真正的问题是:IANA 保留 TLD 是否合理具体来说用于私有网络,然后用于 Web 浏览器接受来自带有此 TLD 的域名的自签名 SSL 证书当且仅当该域名解析为私有 IP 地址?
答案1
不。
仅仅因为网络服务器位于本地网络上并不意味着它就是您要访问的服务器并且没有受到损害。
此外,什么是本地网络?如何阻止某人滥用“特殊本地顶级域名”?如何定义本地并处理其例外情况?如何确保某些东西在 LAN 上时不会受到损害或 MITM 攻击?
顺便说一句,已经有一个.local为本地网络保留的特殊域名。