খারাপ শংসাপত্র সহ একটি https অনুরোধ কীভাবে করবেন?

বলুন আমি https://golang.orgঅগ্রগতি অর্জন করতে চাই । বর্তমানে golang.org (এসএসএল) এর একটি খারাপ শংসাপত্র রয়েছে যা এটি জারি করা হয় *.appspot.comতাই আমি যখন এটি চালাই:

package main

import (
    "log"
    "net/http"
)

func main() {
    _, err := http.Get("https://golang.org/")
    if err != nil {
        log.Fatal(err)
    }
}

আমি পেয়েছি (যেমনটি আমি প্রত্যাশা করেছি)

Get https://golang.org/: certificate is valid for *.appspot.com, *.*.appspot.com, appspot.com, not golang.org

এখন, আমি নিজেই এই শংসাপত্রটিকে বিশ্বাস করতে চাই (একটি স্ব-জারি করা শংসাপত্রের কল্পনা করুন যেখানে আমি আঙুলের ছাপ ইত্যাদি যাচাই করতে পারি): কীভাবে আমি একটি অনুরোধ করতে পারি এবং শংসাপত্রটিকে বৈধতা / বিশ্বাস করতে পারি?

শংসাপত্রটি ডাউনলোড করতে, আমার ফাইলে এটি লোড করুন এবং tls.Configস্ট্রাক্ট পূরণের জন্য আমার সম্ভবত ওপেনসেল ব্যবহার করা দরকার !?

সুরক্ষা নোট: সুরক্ষা চেক অক্ষম করা বিপজ্জনক এবং এড়ানো উচিত

আপনি ডিফল্ট ক্লায়েন্টের সমস্ত অনুরোধের জন্য বিশ্বব্যাপী সুরক্ষা চেকগুলি অক্ষম করতে পারেন:

package main

import (
    "fmt"
    "net/http"
    "crypto/tls"
)

func main() {
    http.DefaultTransport.(*http.Transport).TLSClientConfig = &tls.Config{InsecureSkipVerify: true}
    _, err := http.Get("https://golang.org/")
    if err != nil {
        fmt.Println(err)
    }
}

আপনি একটি ক্লায়েন্টের জন্য সুরক্ষা চেক অক্ষম করতে পারেন:

package main

import (
    "fmt"
    "net/http"
    "crypto/tls"
)

func main() {
    tr := &http.Transport{
        TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
    }
    client := &http.Client{Transport: tr}
    _, err := client.Get("https://golang.org/")
    if err != nil {
        fmt.Println(err)
    }
}

এর ডিফল্ট সেটিংস না হারিয়ে DefaultTransportএবং ব্যবহারকারীর মন্তব্যে জাল অনুরোধের প্রয়োজন ছাড়াই এটি করার একটি উপায় এখানে ।

defaultTransport := http.DefaultTransport.(*http.Transport)

// Create new Transport that ignores self-signed SSL
customTransport := &http.Transport{
  Proxy:                 defaultTransport.Proxy,
  DialContext:           defaultTransport.DialContext,
  MaxIdleConns:          defaultTransport.MaxIdleConns,
  IdleConnTimeout:       defaultTransport.IdleConnTimeout,
  ExpectContinueTimeout: defaultTransport.ExpectContinueTimeout,
  TLSHandshakeTimeout:   defaultTransport.TLSHandshakeTimeout,
  TLSClientConfig:       &tls.Config{InsecureSkipVerify: true},
}

হালনাগাদ

খাটো উপায়:

customTransport := &(*http.DefaultTransport.(*http.Transport)) // make shallow copy
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}

যথাযথ উপায় (Go 1.13 হিসাবে) ( নীচে উত্তর দিয়ে দেওয়া ):

customTransport := http.DefaultTransport.(*http.Transport).Clone()
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}

সতর্কতা : কেবল পরীক্ষার / বিকাশের উদ্দেশ্যে। অন্য কিছু, আপনার নিজের ঝুঁকিতে এগিয়ে যান !!!

এই সব উত্তর ভুল! InsecureSkipVerifyহোস্টের সাথে মেলে না এমন কোনও সিএন নিয়ে ডিল করতে ব্যবহার করবেন না । গো বিকাশকারীরা বুদ্ধিমানভাবে হোস্টনাম চেকগুলি অক্ষম না করার বিষয়ে অনড় ছিল (যার বৈধ ব্যবহার রয়েছে - টানেলস, নেটস, শেয়ার্ড ক্লাস্টার শংসাপত্রগুলি ইত্যাদি), এমন কিছুর মিল রয়েছে যা দেখতে অনুরূপ তবে বাস্তবে শংসাপত্রের চেকটিকে সম্পূর্ণ উপেক্ষা করে। আপনার জানা দরকার যে শংসাপত্রটি বৈধ এবং আপনার দ্বারা বিশ্বাস করা শংসাপত্রের দ্বারা স্বাক্ষরিত। তবে সাধারণ পরিস্থিতিতে আপনি জানেন যে সিএন আপনার সাথে সংযুক্ত হোস্টনামের সাথে মেলে না। তাদের জন্য, সেট ServerNameউপর tls.Config। যদি tls.Config.ServerName== রিমোট সার্ভারসিএন হয়, তবে শংসাপত্রের চেকটি সফল হবে। এটাই তুমি চাও. InsecureSkipVerifyএর অর্থ নেই যে কোনও প্রমাণীকরণ নেই; এবং এটি একটি মধ্য-মধ্যের জন্য পাকা; টিএলএস ব্যবহারের উদ্দেশ্যকে পরাস্ত করা।

এর একটি বৈধ ব্যবহার রয়েছে InsecureSkipVerify: একটি হোস্টের সাথে সংযোগ করতে এটি ব্যবহার করুন এবং এর শংসাপত্রটি ধরুন, তারপরে তাত্ক্ষণিকভাবে সংযোগ বিচ্ছিন্ন করুন। আপনি যদি নিজের কোডটি ব্যবহারের জন্য সেটআপ করেন তবে InsecureSkipVerifyএটি সাধারণত কারণ আপনি ServerNameসঠিকভাবে সেট করেন নি (এটি কোনও এনভির ভার বা কোনও কিছু থেকে আসা দরকার - এই প্রয়োজনীয়তা সম্পর্কে বেলি-ব্যথা করবেন না ... এটি সঠিকভাবে করুন)।

বিশেষত, আপনি যদি ক্লায়েন্ট শংসাপত্রগুলি ব্যবহার করেন এবং প্রমাণীকরণের জন্য তাদের উপর নির্ভর করেন তবে আপনার মূলত একটি জাল লগইন রয়েছে যা আসলে আর কোনও লগইন করে না। যে কোডটি করে তা প্রত্যাখ্যান করুন InsecureSkipVerifyবা আপনি এর মাধ্যমে কী ভুল তা কঠিন উপায়ে শিখবেন!

আপনি যদি ডিফল্ট পরিবহন সেটিংস বজায় রাখতে চান তবে এটি করার সঠিক উপায়টি এখন (গো 1.13 তে) রয়েছে:

customTransport := http.DefaultTransport.(*http.Transport).Clone()
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}
client = &http.Client{Transport: customTransport}

পরিবহন.ক্লোন পরিবহনের একটি গভীর অনুলিপি তৈরি করে। এইভাবে আপনাকে এমন কোনও নতুন ক্ষেত্র হারিয়ে যাওয়ার বিষয়ে চিন্তা করতে হবে না যা Transportসময়ের সাথে সাথে স্ট্রাক্টে যুক্ত হয় ।

আপনি যদি HTTP প্যাকেজ থেকে ডিফল্ট সেটিংস ব্যবহার করতে চান, সুতরাং আপনাকে কোনও নতুন পরিবহন এবং ক্লায়েন্ট অবজেক্ট তৈরি করার দরকার নেই, আপনি শংসাপত্র যাচাইকরণটিকে এড়ানো উপেক্ষা করার জন্য এটি পরিবর্তন করতে পারেন:

tr := http.DefaultTransport.(*http.Transport)
tr.TLSClientConfig.InsecureSkipVerify = true

সাধারণত, ইউআরএল এর ডিএনএস ডোমেন শংসাপত্রের শংসাপত্র সাবজেক্টের সাথে মেলে।

পূর্ববর্তী সময়ে এটি হয় শংসাপত্রের সিএন হিসাবে ডোমেন সেট করে অথবা ডোমেনটিকে সাবজেক্ট বিকল্প বিকল্প হিসাবে সেট করে।

সিএন এর জন্য সমর্থন দীর্ঘ সময়ের জন্য অবচিত করা হয়েছিল (2000 সাল থেকে আরএফসি 2818 ) এবং ক্রোম ব্রাউজার এমনকি সিএন এর দিকে আর তাকাবে না তাই আজ আপনাকে সাবজেক্ট বিকল্প বিকল্প হিসাবে URL এর DNS ডোমেন থাকা দরকার main

আরএফসি 6125 যা ডিএনএস ডোমেনের জন্য সান উপস্থিত থাকলে সিএন পরীক্ষা করতে নিষেধ করে, তবে আইপি ঠিকানার জন্য সান উপস্থিত থাকলে তা নয়। আরএফসি 6125 এও পুনরাবৃত্তি করে যে সিএন অবচিত হয়ে গেছে যা ইতিমধ্যে আরএফসি 2818-এ বলা হয়েছিল the