是否建议在生产中禁用ssl验证而不是提供ca证书？

我们的客户为其中一项内部服务提供了自签名证书。我们正在使用curl在shell脚本中访问此服务。为了连接到该服务，我们需要在curl命令中提供certiface，或者可以在curl命令中使用-k禁用ssl验证。我们想知道在生产环境中禁用ssl验证是否安全？

否

---

禁用证书验证将从HTTPS连接中删除所有安全属性。强烈建议您不要禁用它。

当然不会。它完全不安全，因为它信任任何人（包括所有攻击者）颁发的所有证书。在测试中甚至不建议使用它，因为测试应该使用与生产相同的代码，而且不安全的测试代码在不安全的情况下进入生产存在相当大的风险。如果你不想让它安全，为什么要使用SSL呢。由于您不知道与谁通信，因此隐私和完整性属性也会丢失。您可能正在与冒名顶替者交谈。您当然是这样，但您与冒名顶替者的对话仍然是私人的，并且仍然具有完整性，即不会受到第三方的窃听、注入或截断攻击。是的，但“隐私”和“完整性”通常意味着您保护这两个财产免受对手的攻击。当您放弃身份验证检查时，您可能会将您的隐私和完整性直接提供给对手。你不会知道的。因此，你没有受到保护。“你与那个冒名顶替者的对话仍然是隐私的，并且仍然具有完整性”不：你不知道你的冒名顶替者在做什么，如果这是一个不安全的MitM，你与那个冒名顶替者的通信既不隐私，也没有完整性@kevinnls：验证证书是确保没有人劫持IP或伪造名称或其他任何东西的唯一方法。