我试图了解为什么一个tibco客户端忽略了过期的服务器证书。我读到有关ssl_verify_host和ssl_verify_hostname的信息,我必须说我发现这有点令人困惑:
- ssl_verify_host指定客户端是否应验证服务器的证书。此参数的值已启用或 禁用的。默认情况下,此参数启用,表示客户端 应该验证服务器的证书。禁用时,客户端 与服务器建立安全通信,但不验证 服务器的身份。
- ssl_verify_hostname指定客户端是否应在服务器证书的CN字段中验证名称。的值 启用和禁用此参数。默认情况下,此参数为 启用,表示客户端应验证连接的名称 主机或ssl_expected_hostname参数中指定的名称 对照服务器证书中的值。如果名称不正确 匹配,客户端拒绝连接。禁用此功能后,客户端会与服务器建立安全的通信,但不会验证服务器的名称。
我猜测“不验证服务器的身份”是指“客户端未针对根CA检查服务器证书”。这意味着客户端实际上完全忽略了服务器证书吗? (所以它不在乎是否过期?)