Estou tentando adicionar https aos dispositivos incorporados em que estou trabalhando. Esses dispositivos geralmente recebem endereços IP locais e, portanto, não podem obter seus próprios certificados SSL.
Então, basicamente, minha pergunta é como obter um certificado para um dispositivo sem um endereço IP global?
Premissas:
Os navegadores não confiarão nos certificados, a menos que tenham sido verificados por uma CA confiável.
No entanto, você só pode obter um certificado verificado para um domínio globalmente exclusivo.
Esses malditos clientes insistem em endereços IP locais.
Pergunta semelhante aqui
Hipótese A:
- Obter um certificado para o site principal da empresa
- Copie esse certificado. + chave privada para todos os dispositivos
- O usuário se conecta ao dispositivo
- O dispositivo envia cert. ao usuário
- O usuário vê cert. é confiável (ignora que não é para este servidor ??)
- Usuário criptografa http usando chave pública em cert
- O dispositivo usa chave privada
Resultados:
- Navegador reclama de incompatibilidade de nome
- Os clientes têm acesso à chave privada um do outro
- Não é muito seguro
Hipótese B:
- Obtenha um certificado para o site principal da empresa PARA CADA DISPOSITIVO
- Copie um certificado. + chave privada para cada dispositivo
- O usuário se conecta ao dispositivo
- O dispositivo envia cert. ao usuário
- O usuário vê cert. é confiável (ignora que não é para este servidor ??)
- Usuário criptografa http usando chave pública em cert
- O dispositivo usa chave privada
Resultados:
- Navegador reclama de incompatibilidade de nome
- Seguro
Hipótese C:
- Criar certificado autoassinado para cada dispositivo
- Copie um certificado. + chave privada para o dispositivo
- O usuário se conecta ao dispositivo
- O dispositivo envia cert. ao usuário
- Firefox tem um canário
- Usuário criptografa http usando chave pública em cert
- O dispositivo usa chave privada
Resultados:
- Navegador reclama de certificado autoassinado
- Certificado autoassinado pode ser ataque man-in-middle
ssl
https
certificate
embedded
cryptography
Shiftee
fonte
fonte
Respostas:
Se o cliente insistir na conectividade IP local, você nem precisará aproveitar uma Infraestrutura de Chave Pública mundial , entrando em contato com as Autoridades de Certificação "conhecidas" .
Basta configurar sua própria PKI local com sua própria CA local e distribuir o certificado da CA a todos os clientes. Em seguida, use essa CA para emitir certificados para os dispositivos e eles serão confiáveis pelos clientes.
fonte
A opção de obter um certificado curinga e usá-lo como subdomínio para seus dispositivos é uma opção?
Enquanto seus dispositivos estiverem no DNS localmente, os endereços IP não deverão importar.
fonte