Node.js TLS-Verbindungen ohne Überprüfung des Hostnamens

Question

Ich spiele mit einem Schwarm von "Knoten", die miteinander verbunden sind, und alles, was mich wirklich interessiert, ist, dass sie sicher miteinander verbunden sind und alle authentifiziert sind.

Dafür dachte ich, das TLS-Modul würde eine gute Passform sein. Ich habe eine Zertifizierungsstelle erstellt und eine Reihe von Zertifikaten signiert, eine für jeden Knoten. Ich habe dann das Problem, dass Zertifikate jetzt gegen den Host validiert werden, von dem der Knoten verbindet.

Kann die Common Name-Validierung irgendwie deaktiviert oder umgangen werden?

Gibt es etwas grundlegend Fehlerhaftes an diesem Setup?

Stimmt es, dass, solange diese Zertifikate von meiner Zertifizierungsstelle signiert sind, die Verbindung sicher sein sollte und ich sicher bin, dass nur meine Knoten eine Verbindung herstellen können?

Es scheint nur ein Ärgernis zu sein, Zertifikate signieren zu müssen, die an einen Hostnamen oder eine IP-Adresse (oder mehrere bei mehreren Schnittstellen) gebunden sind. Ich habe gelernt, dass die Anforderung, den Host zu validieren, eigentlich kein Teil von TLS, sondern HTTPS ist - in diesem Licht könnte es standardmäßig ein Node.js-Fehler sein?

Answer 1

Kann die Common Name-Validierung irgendwie deaktiviert oder umgangen werden?

Dies ist möglich, indem die checkServerIdentity Möglichkeit tls.connect auf eine no-op-Funktion einstellen:

const tls = require('tls') 
tls.connect({ 
    checkServerIdentity:() => undefined, 
    ... 
}) 

Quellen:

• https://nodejs.org/api/tls.html#tls_tls_checkserveridentity_host_cert
• https://github.com/nodejs/node/blob/df63e534584a54dcf02b37446e1e821382e3cef3/lib/tls.js#L168-L231
• https://github.com/nodejs/node/blob/79261f3003719264bc03f6a5b54cf9eddbc8b48e/lib/_tls_wrap.js#L1046