不正な証明書でhttpsリクエストを行う方法は？

https://golang.orgプログラムで取得したいとします。現在、golang.org（ssl）には不正な証明書が発行されている*.appspot.comので、これを実行すると、

package main

import (
    "log"
    "net/http"
)

func main() {
    _, err := http.Get("https://golang.org/")
    if err != nil {
        log.Fatal(err)
    }
}

（予想通り）

Get https://golang.org/: certificate is valid for *.appspot.com, *.*.appspot.com, appspot.com, not golang.org

今、私はこの証明書を自分で信頼したいと思います（指紋などを検証できる自己発行の証明書を想像してください）。どのようにリクエストを発行し、証明書を検証/信頼できますか？

おそらくopensslを使用して証明書をダウンロードし、それをファイルにロードして、tls.Config構造体に入力する必要があります！？

セキュリティ上の注意：セキュリティチェックを無効にすることは危険であり、回避する必要があります

デフォルトクライアントのすべてのリクエストに対して、グローバルにセキュリティチェックを無効にすることができます。

package main

import (
    "fmt"
    "net/http"
    "crypto/tls"
)

func main() {
    http.DefaultTransport.(*http.Transport).TLSClientConfig = &tls.Config{InsecureSkipVerify: true}
    _, err := http.Get("https://golang.org/")
    if err != nil {
        fmt.Println(err)
    }
}

クライアントのセキュリティチェックを無効にすることができます。

package main

import (
    "fmt"
    "net/http"
    "crypto/tls"
)

func main() {
    tr := &http.Transport{
        TLSClientConfig: &tls.Config{InsecureSkipVerify: true},
    }
    client := &http.Client{Transport: tr}
    _, err := client.Get("https://golang.org/")
    if err != nil {
        fmt.Println(err)
    }
}

これは、のデフォルト設定を失うことなくDefaultTransport、またユーザーのコメントによる偽のリクエストを必要とせずにそれを行う方法です。

defaultTransport := http.DefaultTransport.(*http.Transport)

// Create new Transport that ignores self-signed SSL
customTransport := &http.Transport{
  Proxy:                 defaultTransport.Proxy,
  DialContext:           defaultTransport.DialContext,
  MaxIdleConns:          defaultTransport.MaxIdleConns,
  IdleConnTimeout:       defaultTransport.IdleConnTimeout,
  ExpectContinueTimeout: defaultTransport.ExpectContinueTimeout,
  TLSHandshakeTimeout:   defaultTransport.TLSHandshakeTimeout,
  TLSClientConfig:       &tls.Config{InsecureSkipVerify: true},
}

更新

より短い方法：

customTransport := &(*http.DefaultTransport.(*http.Transport)) // make shallow copy
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}

適切な方法（Go 1.13以降）（以下の回答で提供）：

customTransport := http.DefaultTransport.(*http.Transport).Clone()
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}

警告：テスト/開発目的のみ。それ以外は、自己責任で進めてください!!!

これらの答えはすべて間違っています！InsecureSkipVerifyホスト名と一致しないCNの処理には使用しないでください。Go開発者は賢明にもホスト名チェック（正当な用途-トンネル、NAT、共有クラスター証明書など）を無効にせず、同様に見えるものの実際には証明書チェックを完全に無視することに固執しました。証明書が有効であり、信頼できる証明書によって署名されていることを知っておく必要があります。しかし、一般的なシナリオでは、CNが接続先のホスト名と一致しないことがわかっています。それらについては、に設定ServerNameしtls.Configます。tls.Config.ServerName== remoteServerCNの場合、証明書のチェックは成功します。これはあなたが望むものです。 InsecureSkipVerify認証がないことを意味します。そして、それは中間者にとって熟したものです。TLSを使用する目的を無効にします。

正当な用途が1つありInsecureSkipVerifyます。それを使用してホストに接続し、その証明書を取得して、すぐに切断します。を使用するようにコードを設定した場合InsecureSkipVerify、それは通常、ServerName適切に設定しなかったことが原因です（env変数などから取得する必要があります。この要件に腹を立てないでください...正しく実行してください）。

特に、クライアント証明書を使用して認証に依存している場合、基本的には、実際にはログインしない偽のログインになります。を行うコードを拒否します。そうしないとInsecureSkipVerify、コードの何が問題なのかを難しい方法で学習します。

デフォルトのトランスポート設定を維持したい場合、これを行う正しい方法は次のとおりです（Go 1.13以降）：

customTransport := http.DefaultTransport.(*http.Transport).Clone()
customTransport.TLSClientConfig = &tls.Config{InsecureSkipVerify: true}
client = &http.Client{Transport: customTransport}

Transport.Cloneは、トランスポートのディープコピーを作成します。このようにして、Transport時間の経過とともに構造体に追加される新しいフィールドの欠落を心配する必要がなくなります。

httpパッケージのデフォルト設定を使用するため、新しいトランスポートおよびクライアントオブジェクトを作成する必要がない場合は、次のように変更して、証明書の検証を無視することができます。

tr := http.DefaultTransport.(*http.Transport)
tr.TLSClientConfig.InsecureSkipVerify = true

通常、URLのDNSドメインは、証明書の証明書サブジェクトと一致する必要があります。

以前は、これはドメインを証明書のcnとして設定するか、ドメインをサブジェクトの別名として設定することによって可能でした。

cnのサポートは長い間（RFC 2818の 2000年以降）推奨されておらず、Chromeブラウザはcnを参照しなくなったため、今日ではサブジェクトの別名としてURLのDNSドメインが必要です。

RFC 6125は、DNSドメインのSANが存在する場合はcnのチェックを禁止しますが、IPアドレスのSANが存在する場合は禁止しません。RFC 6125はまた、すでにRFC 2818で述べられているcnが非推奨であることを繰り返します。また、RFC 6125との組み合わせで本質的にcnがDNSドメイン名をチェックされないことを意味する証明機関ブラウザフォーラムが存在することを示します。