Thiết bị nhúng hỗ trợ web SSL

Question

Đối với thiết bị nhúng đang được phát triển, chúng tôi có yêu cầu đăng nhập vào web của thiết bị mà không gửi thông tin xác thực người dùng bằng văn bản rõ ràng.

Giao diện của biểu mẫu đăng nhập phải có thể tùy chỉnh, vì vậy không thể xác thực thông báo. Lựa chọn duy nhất còn lại như chúng ta thấy, là sử dụng HTTPS với SSL.

Thiết bị này thường được truy cập từ mạng cục bộ theo địa chỉ IP của nó, nhưng cũng có thể truy cập được từ internet.

Câu hỏi của tôi là: Có thể ngăn chặn cảnh báo trình duyệt "Không thể được chứng nhận" khi không có tên DNS được gán cho thiết bị được truy cập cục bộ? Như tôi thấy, chứng chỉ SSL phải được ràng buộc với tên DNS và được chứng nhận tại Tổ chức phát hành chứng chỉ để trình duyệt chấp nhận chứng chỉ hoàn toàn.

Tôi hoàn toàn nhận thức được thực tế là không có chứng nhận được chứng nhận, trình duyệt không thể xác thực máy chủ web, điều này có thể dẫn đến cuộc tấn công "trung gian".

Khi thiết bị được cấu hình đầy đủ, nó chỉ được truy cập rất hiếm khi, nhưng nó phải dễ dàng truy cập.

Answer 1

HTTPS không cho phép chứng chỉ được cấp cho địa chỉ IP thay vì tên máy chủ. Thật vậy, đặc tả HTTPS (RFC 2818) nói "Trong một số trường hợp, URI được chỉ định là địa chỉ IP chứ không phải tên máy chủ. Trong trường hợp này, đối tượng iPAddress phải có trong chứng chỉ và phải khớp chính xác với IP trong URI . " Vì vậy, nếu bạn có thể nhận được chứng chỉ SSL/TLS từ CA bị ràng buộc với địa chỉ IP của thiết bị, thì khách hàng kết nối với nó phải chấp nhận nó như là (1) URI được sử dụng để truy cập thiết bị là địa chỉ IP khớp với địa chỉ chứa trong chứng chỉ và (2) chứng chỉ được phát hành bởi một chuỗi CA được thiết bị khách tin cậy.

Nếu bạn chỉ cần truy cập thiết bị này bằng ứng dụng khách mà bạn kiểm soát, bạn có thể sử dụng tự ký, ràng buộc với địa chỉ IP, chứng chỉ mà bạn tạo, nhưng bạn sẽ cần phải định cấu hình mỗi khách hàng truy cập vào tin tưởng rõ ràng rằng chứng chỉ vì nó sẽ không được cấp bởi một CA đáng tin cậy.