LINUX.ORG.RU

Как бы организовать SSL для железяки

 ,


1

2

Есть некоторая разрабатываемая железка с web интерфейсом доступ к которому хотелось бы давать по HTTPS. Проблема в том, что самоподписанный сертификат в нынешних браузерах приводит к «АЛЯРМА!!!», что не есть хорошо. Как бы сделать так, чтобы даже довольно деревянный пользователь мог это дело настроить?

Мои варианты:

  • Изначально давать доступ по http а там всячески намекать, что если нужен https то надо сходить по ссылке и сделать то, что там написано. Проблема в том, что текст никто не читает, а если и читает, то если там незнакомые и страшные слова, то не вдупляет. Несекурно короч.
  • При входе по http показывать страницу с инструкциями по установке сгенерённого на железке сертификата в браузер или давать закинуть на железку свой сертификат.
  • Забить нафиг, всё равно никто не парится.

Железка то наверняка для локальной сети, какой смысл в там https? Ну если хочется секурности добавь возможность загрузить на железку свой сертификат и запретить доступ по http, по моему это самый компромиссный вариант.

sany0k
()

При входе по http показывать страницу с инструкциями по установке сгенерённого на железке сертификата в браузер или давать закинуть на железку свой сертификат.

this

Harald ★★★★★
()
Ответ на: комментарий от Harald

Ну, покупать домен для embedded девайса — это странно. Вообще проблемы нет, но тогда в чём проблема сделать и сертификат?

CYB3R ★★★★★
()
Ответ на: комментарий от CYB3R

в /etc/hosts или локальный DNS сервер пишем любой домен, потом для него подписываем своим CA сертификат для железки, сохраняем сертификат и ключ на железке

можно конечно и домен с сертификатом купить, как вариант для особо упоротых )

Harald ★★★★★
()
Ответ на: комментарий от Harald

в /etc/hosts или локальный DNS сервер пишем любой домен, потом для него подписываем своим CA сертификат для железки, сохраняем сертификат и ключ на железке

Это так легко для пользователя с характеристикой

Проблема в том, что текст никто не читает, а если и читает, то если там незнакомые и страшные слова, то не вдупляет. Несекурно короч.

expelled ★★
()

Забить нафиг, всё равно никто не парится.

vlb ★★★
()
Ответ на: комментарий от fornlr

не канает, железяка в общем случае без доменного имени, а в частном случае вообще в интернет не выходит.

Dark_SavanT ★★★★★
() автор топика
Последнее исправление: Dark_SavanT (всего исправлений: 1)
Ответ на: комментарий от Dark_SavanT

на эту морду вполне могут ходить и через WAN

Ну, не по IP же? Значит, есть домен, значит, с сертификатом никаких проблем.

CYB3R ★★★★★
()

Элементарно, Ватсон. Делаешь своё облако для железок, с хатэтэпээсом и веб-интерфейсами. Железки коннектятся к облаку, клиенты коннектятся к облаку, ты всё контролируешь. За секурный доступ берёшь дополнительную абонентскую плату. Профит!

anonymous
()

Как бы сделать так, чтобы даже довольно деревянный пользователь мог это дело настроить?

Элементарно, Ватсон! Сделать аутентификацию по клиентским сертификатам. Хошь не хошь, а настраивать придётся.

Macil ★★★★★
()
Ответ на: комментарий от Macil

Думал, возможно упоремся даже так, хоть и сомнительно.

Dark_SavanT ★★★★★
() автор топика
Ответ на: комментарий от Dark_SavanT

Добавьте настройку доменного имени хоста. Нужен валидный https серт + нет домена - взаимоисключающие параграфы практически.

Andrey_Utkin ★★
()

есть вот такой вариант, чтобы пользователю не было много проблем(зато проблемы в виде головной боли и безопасности): у себя делаете CA, сертификат от него ставите юзверю в доверенные. На железяка подчиненный CA, который уже для конкретного ip/хостнейма выдает сертификат. Проблема безопасности очевидна: как защитить CA на железке, чтобы нельзя было выпускать левые сертификаты, которым будет доверять пользователь.

TOXA ★★
()
Ответ на: комментарий от Dark_SavanT

ээ.. вроде если уж не делать совсем нехорошего хулиганства, паетики ходят не ко всем хостам, а соответсвенно арп-таблицам в свичах. есди нехороший человек со сниффером может сесть на канал, то что-то кто-то явно делает не так. и решать это надо не https. (по крайней мере не только)

Avial ★★★★★
()
Последнее исправление: Avial (всего исправлений: 1)
Ответ на: комментарий от Avial

Железяка может конфигурироваться и через wan. Да и в любом, даже доверенном окружении ты не знаешь кто сел на провод.

Dark_SavanT ★★★★★
() автор топика

Предложить кастомеру настроить на железке свой сертификат (от своего CA) или сгенерировать самоподписанный.

Предлагать с прошитым сертификатом выпущенным для конкретной железки каким-нить серьёзным УЦ - не бесплатно, понятное дело.

eabi
()
Последнее исправление: eabi (всего исправлений: 1)
Ответ на: комментарий от snaf

разрабатываемая железка

Тред не читай @ отвечай

Dark_SavanT ★★★★★
() автор топика
Ответ на: комментарий от loskiq

Тред не читай @ отвечай

Ещё раз - у железки сертификат самоподписный либо загруженный пользователем. Доменного имени у этой железки легко может не быть.

Dark_SavanT ★★★★★
() автор топика

Обычно на железки ставится самоподписанный сертификат.
На продвинутых железках есть возможность загрузить пользовательский сертификат через админку.
Как вариант, можно использовать HTTPS опционально.

ArcFi
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.