1. Dom
  2. Pytanie i odpowiedź
  3. Urządzenie osadzone z wbudowanym interfejsem SSL

Urządzenie osadzone z wbudowanym interfejsem SSL

2012-03-06 18 views
10

W przypadku wbudowanego urządzenia wymagamy zalogowania się do jego sieci bez wysyłania poświadczeń użytkownika w postaci zwykłego tekstu.Urządzenie osadzone z wbudowanym interfejsem SSL

Wygląd logu w formularzu powinien być dostosowywany, więc uwierzytelnianie digest nie jest możliwe. Jedyną pozostałą opcją, jaką widzimy, jest użycie HTTPS z SSL.

Urządzenie jest zwykle dostępne z lokalnej sieci przez jego adres IP, ale może być również udostępnione z Internetu.

Moje pytanie brzmi: Czy można w ogóle zapobiec wyświetlaniu ostrzeżenia przeglądarki "Nie można certyfikować", jeśli nie przypisano nazwy DNS do urządzenia dostępnego lokalnie? Jak widzę, certyfikat SSL musi być związany z nazwą DNS i certyfikowany przez urząd certyfikacji, aby przeglądarka mogła w pełni akceptować certyfikat.

Jestem w pełni świadomy, że bez certyfikowanej certyfikacji przeglądarka nie może uwierzytelnić serwera, co może prowadzić do ataku typu "człowiek w środku".

Po pełnym skonfigurowaniu urządzenia dostęp do niego jest bardzo rzadki, ale powinien być łatwo dostępny.

Źródło

2012-03-06 Munk

+0

Jeśli masz odciski palców certyfikatu z wyprzedzeniem (które można zarządzać tylko dla kilku urządzeń), możesz je sprawdzić, gdy są prezentowane z samopodpisanym certyfikatem. Jeśli pasują, to twoje urządzenie jest w porządku. – Piskvor

+0

@Piskvor posiadający certyfikat CA i wydający certyfikaty niestandardowych urządzeń byłby łatwiejszy z punktu widzenia zarządzania - klient musiałby zainstalować/zaufać tylko jednemu certyfikatowi CA. –

+1

@Eugene Mayevski 'EldoS Corp: Byłbym bardzo niechętny do zainstalowania certyfikatu CA producenta sprzętu sieciowego - który macha ogromną czerwoną flagą i krzyczy "MITM" (Jak wiesz, każdy zaufany urząd certyfikacji może wydawać certyfikaty dla każdej witryny, i będą zaufane przez przeglądarkę). – Piskvor

Odpowiedz

7

HTTPS zezwala na wydawanie certyfikatu na adres IP zamiast na nazwę hosta. Rzeczywiście, specyfikacja HTTPS (RFC 2818) stwierdza: "W niektórych przypadkach identyfikator URI jest określony jako adres IP, a nie nazwa hosta.W takim przypadku nazwa obiektu podmiotu iPAddress musi znajdować się w certyfikacie i musi dokładnie odpowiadać adresowi IP w identyfikatorze URI . "

Jeśli więc można uzyskać certyfikat SSL/TLS z urzędu certyfikacji, który jest powiązany z adresem IP urządzenia, klienci łączący się z nim powinni zaakceptować go jako ważny (1) identyfikator URI używany do uzyskania dostępu do urządzenia jest adresem IP zgodnym z adresem zawartym w certyfikacie oraz (2) certyfikat jest wydawany przez łańcuch CA zaufany przez urządzenie klienta.

Jeśli potrzebujesz tylko dostępu do tego urządzenia za pomocą klientów, którymi sterujesz, możesz użyć samopodpisanego, powiązanego z adresem IP, generowanego certyfikatu, ale musisz skonfigurować każdego klienta, który miałby do niego dostęp, jawnie ufaj temu certyfikatowi, ponieważ nie zostałby wystawiony przez zaufany urząd certyfikacji.

Źródło

2012-03-06 13:26:04 jeffsix

+0

OK. Zamierzamy wysłać dużo urządzeń, głównie po to, aby były dostępne w lokalnej sieci z lokalnymi adresami IP. Tak więc, jak widzę, nie można zapobiec ostrzeżeniu przeglądarki innym niż ręczne ustawienie certyfikatu jako zaufanego w przeglądarce, ponieważ przeglądarka nie ma możliwości uwierzytelnienia samopodpisanego certyfikatu. – Munk

+0

Czy routery i inny sprzęt sieciowy z interfejsem sieciowym również używają samopodpisanego certyfikatu, gdy włączony jest protokół SSL? – Munk

+6

(1) Zgadzam się. (2) Powszechną praktyką jest wysyłanie za pomocą certyfikatu z podpisem własnym interfejsu internetowego (który generuje ostrzeżenie od połączenia przeglądarki) i zezwolenie na przesłanie innego certyfikatu przez administratora urządzenia. Dlatego osoba odpowiedzialna za urządzenie może zaakceptować ostrzeżenie lub przesłać własny zaufany certyfikat. – jeffsix

Powiązane problemy

 Powiązane problemy