Встроенное SSL-совместимое устройство

Question

Для встраиваемого устройства, находящегося в стадии разработки, у нас есть требование для входа в его сеть без отправки учетных данных пользователя в виде открытого текста.

Внешний вид формы входа должен быть настраиваемым, поэтому дайджест-проверка подлинности невозможна,Единственный оставшийся вариант, как мы видим, это использовать HTTPS с SSL.

Доступ к устройству обычно осуществляется из локальной сети по его IP-адресу, но его также можно сделать доступным из Интернета.

Мой вопрос: возможно ли вообще предотвратить предупреждение браузера «Не может быть сертифицировано», если DNS-имя не назначено локально доступному устройству?На мой взгляд, SSL-сертификат должен быть привязан к DNS-имени и сертифицирован в Центре сертификации, чтобы браузер полностью принял сертификат.

Я полностью осознаю тот факт, что без сертифицированной сертификации браузерне может проверить подлинность веб-сервера, что может привести к атаке «человек посередине».

Когда устройство полностью настроено, к нему обращаются очень редко, но оно должно быть легко доступно.

Answer 1

HTTPS допускает выдачу сертификата на IP-адрес вместо имени хоста.Действительно, спецификация HTTPS (RFC 2818) гласит: «В некоторых случаях URI указывается в качестве IP-адреса, а не имени хоста. В этом случае iPAddress subjectAltName должно присутствовать в сертификате и должно точно соответствовать IP-адресу в URI.. "

Итак, если вы можете получить сертификат SSL / TLS от ЦС, который привязан к IP-адресу вашего устройства, то клиенты, подключающиеся к нему, должны принять его как действительный как (1) используемый URIдля доступа к устройству используется IP-адрес, совпадающий с тем, который содержится в сертификате, и (2) сертификат выдается цепочкой ЦС, которой доверяет клиентское устройство.

Если вам нужно только получить доступ к этому устройству с помощью клиентовчто вы контролируете, вы можете использовать самоподписанный, связанный с IP-адресом, сертификат, который вы генерируете, но вам нужно будет настроить каждый клиент, который будет обращаться к нему, чтобы явно доверять этому сертификату, поскольку он не будет выдан доверенным центром сертификации..