在仍然执行证书检查的同时,是否可以使用cURL之类的工具禁用TLS公用名/主机名检查?
我想为特定应用程序提供基本的安全级别。为此,我生成了一个私钥和自签名证书。这些由服务器端使用。我将证书分发给了客户。
使用cURL之类的工具,我现在可以提供证书(--cacert
)来检查证书是否与仅服务器已知的私钥匹配。这样看来一切都很好。但是,cURL(以及其他工具)坚持要检查公用名和主机名是否匹配。对于我的应用程序来说,这是不可行的,在这种情况下,不需要证明其真实性。
当然可以禁用所有所有检查(-k
),但这也将禁用证书检查,这是一个非常糟糕的主意。