Security 为什么在SAN列表中添加localhost被认为是不安全的？

关于证书的SAN列表的问题

目前，我有一个web应用程序，其中启用了mTLS、相互TLS和双向SSL

我的所有客户端都有有效的证书集，它们都通过握手，并且在通过web调用我的服务时能够获得响应负载。他们都很高兴

但是，作为开发人员，在本地主机上运行时，如果mTLS处于活动状态，我将无法使用自己的服务

因此，我的直接反应是要求我的安全团队在SAN列表中添加localhost

但是，他们告诉我，这是不安全的，添加localhost被认为是不好的做法

我试图在网上查看文档，但没有找到任何具体的或我能理解的东西

我不想为本地主机测试禁用MTL。我不想通过部署某种不安全的信任来欺骗流程

我的问题是:

• 为什么在SAN列表中添加localhost作为条目被认为是不好的做法和不安全的
• 那么，如何测试部署在本地主机上的应用程序

多谢各位

为什么在SAN列表中添加localhost作为条目被认为是不好的做法和不安全的

公开颁发的证书应仅包含由拥有证书的一方完全控制的域

localhost

不属于任何一方，因此不应是公共CA颁发的证书的一部分。但它可以是自签名证书的一部分，也可以是私人证书的一部分，即仅为本地受信任的CA颁发的证书，因为在这种情况下，证书的范围受CA的信任范围的限制

那么，如何测试部署在本地主机上的应用程序

目前还不完全清楚您到底想要测试什么。但是，通过向主机文件添加映射，可以使本地计算机显示为任何域。这样，您就可以通过公共域名在本地访问它，而不仅仅是

localhost

。有关详细信息，请参见示例。请注意，此更改仅影响本地计算机上的DNS查找，但这可能是测试所需的