Встроенное устройство с поддержкой SSL

Для разрабатываемого встроенного устройства у нас есть требование для входа в его сеть без отправки учетных данных пользователя в виде открытого текста.

Внешний вид формы журнала должен быть настраиваемым, поэтому аутентификация дайджеста невозможна. Единственная оставшаяся опция, как мы ее видим, - использовать HTTPS с SSL.

Обычно устройство получает доступ к локальной сети с помощью IP-адреса, но также может быть доступно из Интернета.

Мой вопрос: возможно ли предотвратить предупреждение браузера "Не удалось сертифицировать", если DNS-имя не назначено локально доступному устройству? Как я вижу, сертификат SSL должен быть привязан к имени DNS и сертифицирован в Центре сертификации, чтобы браузер полностью согласился с сертификатом.

Я полностью осведомлен о том, что без сертифицированной сертификации браузер не может аутентифицировать веб-сервер, что может привести к атаке "человек в середине".

Когда устройство полностью сконфигурировано, доступ к нему осуществляется очень редко, но он должен быть легко доступен.

Ответ 1

HTTPS разрешает выдавать сертификат на IP-адрес вместо имени хоста. В самом деле, спецификация HTTPS (RFC 2818) гласит: "В некоторых случаях URI указывается как IP-адрес, а не имя хоста. В этом случае имя субъекта iPAddress subjectAltName должно присутствовать в сертификате и должно точно соответствовать IP-адресу в URI."

Итак, если вы можете получить сертификат SSL/TLS из ЦС, привязанного к IP-адресу вашего устройства, тогда клиенты, подключающиеся к нему, должны принять его как действительный, поскольку (1) URI, используемый для доступа к устройству, IP-адрес, который соответствует содержанию в сертификате, и (2) сертификат выдается цепочкой CA, которой доверяет клиентское устройство.

Если вам нужно только получить доступ к этому устройству с помощью клиентов, которым вы управляете, вы можете использовать самоподписанный, привязанный к IP-адресу, сертификат, который вы создаете, но вам нужно будет настроить каждого клиента, который будет обращаться к нему явно доверять этому сертификату, поскольку он не будет выдаваться доверенным ЦС.