SSL証明書を使用するようにaxiosを構成する方法

古い質問ですが、ここに上陸した人のために鳴り響きます。専門家はいません。お近くのセキュリティ専門家に相談してください。

Axiosはhttp（s）クライアントであり、httpクライアントは通常匿名でTLSに参加します。つまり、サーバーは誰が接続しようとしているかを特定せずに接続を受け入れます。これは、サーバーとクライアントの両方がハンドシェイクを完了する前にお互いを確認する相互TLSとは異なります。

インターネットは恐ろしい場所であり、私たちはクライアントが偽のパブリックエンドポイントに接続しないように保護したいと考えています。これを行うには、クライアントがプライベートデータを送信する前にサーバーを識別できるようにします。

// DO NOT DO THIS IF SHARING PRIVATE DATA WITH SERVICE
const httsAgent = new https.Agent({ rejectUnauthorized: false });

これは多くの場合、あらゆる言語でのhttpsクライアント接続の失敗に関するStackOverflowの回答として投稿されます（そして、より慎重に賛成されます）。そしてさらに悪いことに、それは通常は機能し、開発者のブロックを解除し、彼らは陽気な方法で移動します。しかし、彼らは確かにドアに入りますが、誰のドアですか？彼らはサーバーのIDの検証をオプトアウトしたため、貧弱なクライアントは、会社のイントラネットに対して行ったばかりの接続で、回線を傍受している悪役がいるかどうかを知る方法がありません。

サービスにパブリックSSL証明書がある場合、オペレーティングシステムは公的に信頼されたCA証明書の共通セットを提供するため、通常、https.Agentをさらに設定する必要はありません。これは通常、ブラウザーが使用するように構成されているCA証明書と同じセットであり、デフォルトのaxiosクライアントが少しの手間で https://google.com をヒットできるのはこのためです。

サービスにプライベートSSL証明書（テスト目的で自己署名したもの、または社内の秘密を保護するために会社のプライベートCAによって署名したもの）がある場合、サーバー証明書の署名に使用するプライベートCAを信頼するようにhttpsエージェントを構成する必要があります。

const httpsAgent = new https.Agent({ ca: MY_CA_BUNDLE });

ここで、MY_CA_BUNDLEは、.pem形式のCA証明書の配列です。