Abo
  • Services:

TLS-Zertifikate: Mkcert vereinfacht Web-Entwicklung mit lokalem HTTPS

Die Web-Entwicklung mit lokalem HTTPS ist nicht immer einfach und auch nicht ohne weiteres möglich. Um den eigenen Code dennoch leicht lokal mit einer HTTPS-Verbindung zu testen, hat ein Google-Sicherheitsforscher das Werkzeug Mkcert vorgestellt.

Artikel veröffentlicht am ,
Mkcert vereinfacht den Weg zur lokalen Web-Entwicklung mit HTTPS deutlich.
Mkcert vereinfacht den Weg zur lokalen Web-Entwicklung mit HTTPS deutlich. (Bild: GLady/Pixabay/CC0 1.0)

Webseiten verhalten sich teilweise unterschiedlich, je nachdem, ob diese per HTTP oder über das verschlüsselte HTTPS übertragen werden. Um solche Unterschiede auch testen zu können, müssen Entwickler irgendeine Art lokale TLS-Infrastruktur nutzen, was jedoch einige Probleme mit sich bringt. Der Google-Sicherheitsforscher Filippo Valsorda hat deshalb das Werkzeug Mkcert entwickelt, das die Entwicklung mit HTTPS vereinfachen soll.

Stellenmarkt
  1. OEDIV Oetker Daten- und Informationsverarbeitung KG, Bielefeld
  2. Technische Universität Darmstadt, Darmstadt

Bisher wird Entwicklern üblicherweise empfohlen, ein eigenes TLS-Zertifikat zu erstellen, das entweder selbst signiert wurde oder dem von einer eigenen lokalen Root-CA vertraut wird. Dieses Zertifikat wiederum kann dann im System des Entwicklers installiert werden, so dass etwa Browser diesem vertrauen. Dafür sind aber einige Kenntnisse von eher komplizierten Werkzeugen wie OpenSSL notwendig.

Das von Valsorda geschriebene Mkcert soll eben diese Kenntnisse nicht mehr notwendig machen und alle nötigen Schritte durch ein einmaliges Ausführen umsetzen. Dazu wird für einen "beliebigen Hostnamen oder IP-Adresse inklusive localhost" einfach ein Zertifikat erstellt. Dieses ist aber nicht selbst signiert, sondern stammt von einer eigenen privaten CA, der von dem eigenen System automatisch vertraut wird, sofern Mkcert verwendet wird. Der Browser zeigt die lokalen HTTPS-Verbindungen dann automatisch als sicher an.

Mkcert läuft derzeit auf MacOS, Linux und Windows sowie mit Firefox, Chrome und Java. Ebenso kann das Werkzeug mit einigen weiteren manuellen Schritten auch auf Mobilgeräten oder mit Node.js genutzt werden. Valsorda hat das Werkzeug in seinem Umfang bewusst klein gehalten und möchte keine weitergehenden Funktionen umsetzen, die über die eigentliche Unterstützung der lokalen Entwicklung hinausgehen. In Mkcert noch umgesetzt werden soll jedoch ein ACME-Server, der sich so verhält wie Let's Encrypt, so dass für den Wechsel von der Entwicklung zum produktivem Einsatz nur noch die URL des ACME-Endpunkts geändert werden muss.



Anzeige
Spiele-Angebote
  1. 18,49€
  2. 31,99€
  3. (-80%) 5,55€

CoDEmanX 10. Jan 2019

Ja, ist ein Problem. Hat in der Firma das Build-Grid zur Unzeit zerlegt weil das Emoji im...

freebyte 08. Jan 2019

Ihr seit auch ein gestandenes Unternehmen - das darf man nicht den ganzen §19 UStG...

Compufreak345 07. Jan 2019

Zum Beispiel kann eine Applikation https erzwingen und von http zu https redirecten...


Folgen Sie uns
       


Samsung Galaxy S10 Plus - Test

Das Galaxy S10+ ist Samsungs neues, großes Top-Smartphone. Im Test haben wir uns besonders die neue Dreifachkamera angeschaut.

Samsung Galaxy S10 Plus - Test Video aufrufen
Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

    •  /