Node.jsホスト名検証のないTLS接続

Question

"ノード"群が互いに接続して遊んでいます。本当に気になるのは、互いに安全に接続され、すべてが認証されていることです。

このため、私はTLSモジュールが適切であると考えました。 CAを作成し、各ノードに1つの証明書を署名しました。次に、ノードが接続されているホストに対して証明書が検証されているという問題が発生しました。

共通名の検証を無効にするか、回避することはできますか？

この設定に根本的な欠陥がありますか？

私は、これらの証明書が私のCAによって署名されている限り、接続は安全でなければならず、自分のノードだけが接続できると確信しています。

ホスト名またはIP（または複数のインターフェイスの場合は複数）にロックされた証明書に署名する必要があるように見えます。私は、ホストを検証するための要件は実際にはTLSではなくHTTPSの一部であるということを学びました。その点で、デフォルトではNode.jsのバグかもしれません。

Answer 1

共通名の検証を無効にしたり回避することは可能でしょうか？

これはノーオペレーション機能にtls.connectのcheckServerIdentityオプションを設定することで可能です：

const tls = require('tls') 
tls.connect({ 
    checkServerIdentity:() => undefined, 
    ... 
}) 

出典：

• https://nodejs.org/api/tls.html#tls_tls_checkserveridentity_host_cert
• https://github.com/nodejs/node/blob/df63e534584a54dcf02b37446e1e821382e3cef3/lib/tls.js#L168-L231
• https://github.com/nodejs/node/blob/79261f3003719264bc03f6a5b54cf9eddbc8b48e/lib/_tls_wrap.js#L1046