NODE_TLS_REJECT_UNAUTHORIZED=0 是什么意思？

环境变量 NODE_TLS_REJECT_UNAUTHORIZED=0 是 Node.js 中用于控制 TLS/SSL 连接行为的一个配置选项。当你设置这个环境变量为 0 时，它会告诉 Node.js 忽略 SSL 证书的验证错误，允许连接到使用自签名证书或无效证书的 HTTPS 服务器。这种做法通常不推荐在生产环境中使用，因为它会降低安全性，使应用程序容易受到中间人攻击（MITM）。

具体含义

• 默认行为 (NODE_TLS_REJECT_UNAUTHORIZED=1)：Node.js 会验证与 HTTPS 服务器建立的 TLS/SSL 连接中的 SSL 证书。如果证书无效（例如，它是自签名的、过期了或者由不受信任的证书颁发机构签发），那么连接将会失败，并抛出一个错误。

• 当设置为 0：Node.js 将忽略所有 SSL 证书验证错误，允许连接继续进行，即使证书是无效的。这意味着你可以成功连接到任何 HTTPS 服务器，而不会因为证书问题导致连接失败。

使用场景

• 开发和测试环境：有时在开发或测试阶段，你可能会遇到使用自签名证书的本地服务器或测试服务器。在这种情况下，临时设置 NODE_TLS_REJECT_UNAUTHORIZED=0 可以绕过 SSL 证书验证错误，以便进行调试或测试。但请记住，在完成调试后应立即恢复默认设置。

• 内部网络：如果你在一个完全受控的内部网络中工作，且已知所有使用的证书都是安全可靠的，那么可以考虑使用这个设置来简化配置。然而，这仍然存在风险，应该谨慎评估。

安全性警告

设置 NODE_TLS_REJECT_UNAUTHORIZED=0 会带来显著的安全风险：

• 中间人攻击 (MITM)：由于没有验证 SSL 证书的有效性，攻击者可以在客户端和服务器之间插入自己，拦截并篡改通信内容。

• 数据泄露：未经验证的 SSL 证书可能导致敏感信息（如密码、信用卡号等）被窃取或暴露。

• 合规性和审计问题：许多行业标准和法规要求严格的 SSL 证书管理，因此禁用 SSL 证书验证可能违反这些规定。

更好的替代方案

如果你需要处理自签名证书或其他非标准证书的情况，建议采取以下更安全的方法：

• 添加自签名证书到信任库：将自签名证书导入到系统的信任证书存储中，这样 Node.js 就能正确地验证它们。

• 使用 ca 选项：在创建 HTTPS 请求时，可以通过 https.Agent 的 ca 选项指定额外的 CA 证书，从而允许特定的自签名证书。

const https = require('https');
const fs = require('fs');

const agent = new https.Agent({
  ca: fs.readFileSync('/path/to/custom-ca-cert.pem')
});

https.get('https://your-server.com', {agent}, (res) => {
  // Handle response...
});

总之，虽然 NODE_TLS_REJECT_UNAUTHORIZED=0 可以帮助你在某些情况下绕过 SSL 证书验证问题，
但在大多数情况下，特别是生产环境中，应该避免使用这种方式，并寻找更安全的解决方案。

__EOF__

本文作者：龙陌
本文链接：https://www.cnblogs.com/longmo666/p/18646212.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！