Как реализовать SSL для localhost?

Question

[Михаил]

Имеется nginx с локальными сайтами. Захотелось задействовать http2, известно что придется настраивать ssl.
Хочу сделать свой сертификат чтобы из любых программ (curl, браузер и т.д.) можно было открывать сайт без предупреждений. Естественно, речь не про выключение проверки безопасности.
Отсутствие на 100% понимания работы ssl не позволяют решить задачу. Вроде сделать для 1 домена можно, сделать для только браузера тоже можно, сделать корневой тоже можно. Но не все вместе.

Нашел пару полезных статей и ответов:
Create a Self-Signed Certificate for Nginx in 5 Minutes
How To Create a Self-Signed SSL Certificate for Ng...
Adding a self-signed certificate to the “trusted list”

1. Возможно ли создать свой сертификат, никак не влияющий на сайты в интернете (безопасность), который можно будет применить для всех локальных сайтов и самого localhost, а так же во всех программах?
2. Если да, подскажите план действий.

p.s. Использование только локально.

Comments

[CityCat4]

Сертификат никак не связан с IP. Самоподписанный сертификат можете пихать куда угодно - на сайты в тырнете он никак не повлияет. Тут вот какой можно пример привести:

У Вас в кармане лежат бумажные деньги. Вы берете пару листиков бумаги, пишете на них "1000 Руб" и тоже кладете в эту пачку. Станет ли хуже настоящим бумажным деньгам от этого? Да они этого даже не заметят :)

Так примерно и здесь. На огромном количестве сайтов стоят сертификаты на *.example.com, которые идут в качестве примера с апачем :DD

[Михаил]

CityCat4, Жаль что для каждого домена нужно создавать отдельно. Пример хороший :)

Answer 1

[SagePtr]

На localhost SSL бессмысленный. Что вы хотите защищать от перехвата самим собой?

UPD: Беру слова обратно, SSL может быть полезен для защиты от загружаемого извне mixed content'а.
Настраивается он такими же способами, как и любой другой сертификат, я к примеру настроил получение сертификата у Let's Encrypt с авторизацией по доменному имени (воспользовался сервисом acmedns и прописал нужные записи в CNAME), автоматизировал автопродление через планировщик заданий. Само собой, доменное имя должно быть в таком случае реальным, "localhost" не пойдёт (но никто не мешает настроить доменное имя так, чтобы оно ссылалось на 127.0.0.1).

Comments

[Михаил]

Вы бы вопрос читали сначала прежде чем ответ писать.

Захотелось задействовать http2, известно что придется настраивать ssl.

Answer 2

[CityCat4]

Привязки сертификата к IP нет. Инструкций о том, как выпустить самоподписанный сертификат для тестов - зиллион, там даже особо думать не надо (хотя вообще PKI - огромная тема и чем больше ей занимаешься, тем как всегда больше хренеешь :))

Comments

[Михаил]

Смысл от всех инструкций если нельзя привязать к ip?
А на каждый домен создавать не охота.