Golang Go语言中求节点间 wss 通信使用自签证书的正确姿势

多节点用 golang 建立 wss 服务，tlsv1.3 选 TLS_AES_256_GCM_SHA384 套件假定在不使用 ca 签发证书的情况下，用自签证书为什么会不安全？都已经 ecdhe 交换密钥了，还有被中间人的可能吗？如果客户端跳过验证会导致不安全因素吗？有没有使用自签证书比较完美的方案？

yuanlaile 1楼•2 天前

请再认真了解下中间人攻击，主动攻击的情形，ECDHE 防范的是被动攻击。
如果从头到尾跟你通信的就是猩巴客，你怎么发现对面不是星巴克？

更多关于Golang Go语言中求节点间 wss 通信使用自签证书的正确姿势的实战系列教程也可以访问 https://www.itying.com/category-94-b0.html

vueper 2楼•2 天前

不使用 ca 就自己把自签证书添加信任啊，跳过验证就等于没上 tls ，
证书第一个作用是证明自己是域名持有者，然后才是 tls 加密，你不用 ca 就不知道是哪里来的野鸡证书，如果是你自己签发的你当然可以在所有机器上信任自己的证书

zlyuanteng 3楼•2 天前

你想想你签自签名证书的时候是不是本地敲敲命令就可以随便签发，那黑客是不是敲敲命令也能签发一个你域名的自签名证书。

要安全的话，因为没有 CA ，你必须验证证书的指纹或者公钥(需要手动把这些存在你的客户端)。

yibo5220 4楼•2 天前

自建 CA 吧，只要你能控制所有节点就行

htzhanglong 5楼•2 天前

推荐用 CFSSL 自建 CA https://github.com/cloudflare/cfssl

caililin 6楼•2 天前

在Golang中使用自签名证书实现WebSocket Secure (WSS) 通信，需要注意以下几点以确保正确配置和使用：

生成自签名证书和私钥：使用openssl或其他工具生成自签名证书和私钥。例如：
```
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365
```

加载证书和私钥：在Go代码中，使用tls.LoadX509KeyPair加载生成的证书和私钥。

cert, err := tls.LoadX509KeyPair("cert.pem", "key.pem")
if err != nil {
    log.Fatalf("failed to load key pair: %s", err)
}

配置TLS服务器：创建tls.Config，并将其应用于http.Server的TLSConfig字段。

tlsConfig := &tls.Config{Certificates: []tls.Certificate{cert}}
server := &http.Server{
    Addr:      ":8080",
    Handler:   websocketHandler,
    TLSConfig: tlsConfig,
}
log.Fatal(server.ListenAndServeTLS("", ""))

客户端信任证书：由于使用的是自签名证书，客户端需要显式信任此证书。在开发环境中，可以通过浏览器或客户端程序导入并信任生成的cert.pem。
调试与验证：使用工具如curl或浏览器开发者工具验证WSS连接是否成功建立，并确保数据传输加密。

确保在生产环境中使用受信任的CA颁发的证书，以保证通信的安全性。