web-dev-qa-db-ja.com

HerokuのPostgresデータベースを使用するときにrejectUnauthorizedをfalseに設定しても安全ですか?

HerokuアプリでホストされているPostgresデータベースにいくつかのフィールドを配置しようとしていますが、次のエラーが返されます。

Error: self signed certificate
code: 'DEPTH_ZERO_SELF_SIGNED_CERT'

鍵、証明書、CAバンドルを追加しようとしましたが、役に立ちません

同じエラーのあるStackOverflowの質問の多くは、httpサーバーを作成するときに変数rejectUnauthorizedfalseに設定するように言っています。私の質問は、HerokuのPostgresデータベースでこれがどれほど安全かということです。データベースのセキュリティに脅威を与えるでしょうか?

情報が役立つ場合は、node.jsスクリプトを使用してクエリをデータベースに送信します。

1
Phyrik

Heroku サポートしていません プライベートスペースまたはシールドを使用している場合を除き、Postgresデータベースに対するクライアント側の証明書検証:

プライベートまたはシールドのHeroku Postgresデータベースを使用している場合を除き、Heroku Postgresは現在、検証可能な証明書をサポートしていません。

私の理解は、この場合、あなたができる最善のことは:

  • 接続は暗号化されており、盗聴から保護されています
  • 中間者(MITM)攻撃から保護されていない
ssl: {
  sslmode: 'require',
  rejectUnauthorized: false,
}

here によると、これは証明書検証なしの最高レベルです。

enter image description here

1
J c