Сертификаты для поддерживающих SSL встроенных систем
У меня есть встроенная система, что я ожидаю использоваться в течение следующих 15 лет или так, и она имеет находящуюся в https консоль администрирования. Из того, что я понимаю:
- Если у меня будет самоподписанный сертификат, то веб-браузеры будут жаловаться.
- Если у меня будет подписанный CA сертификат, то он истечет довольно скоро за время жизни продукта, и веб-браузеры будут жаловаться.
Там какой-либо путь состоит в том, чтобы иметь длительный сертификат, таким образом, браузеры не будут жаловаться, или действительно ли необходимо выпустить новое встроенное микропрограммное обеспечение каждый раз, когда сертификат истекает по жизни продукта? Или позвольте, чтобы пользователи загрузили новый сертификат?
2 ответа
Это может быть одним из редких случаев, когда самозаверяющий сертификат является правильным подходом. Сколько человек потребуется для администрирования коробки? Я бы подумал, что их немного, и частью развертывания коробки будет установка сертификата в хранилище доверия браузера администратора.
Geotrust выдает сертификаты на срок до 6 лет.
Я бы, вероятно, в любом случае построил бы механизм обновления прошивки на случай, если ваш эмитент (или кто-то в этом роде) будет скомпрометирован и будет добавлен в список отозванных сертификатов.
Будет ли ваше устройство подключено к Интернету? Построить процесс повторной выдачи, чтобы он мог получать новый доверенный сертификат каждые несколько лет через сеть, не должно быть слишком сложно.
Если ваша модель безопасности позволяет использовать самозаверяющий сертификат, задумывались ли вы, почему вы вообще шифруете сообщение? Недоверенный сертификат (и обучение пользователей игнорировать предупреждения) во многих случаях так же плохо (или даже хуже), чем полное отсутствие шифрования.
Кстати, я действительно надеюсь, что вы не планируете развертывать один и тот же сертификат для каждого устройства, которое вы создаете. Если это так, и у вас есть процесс загрузки, который делает сертификат доступным для широкой публики через обновления прошивки, вы возвращаетесь к квадрату 1, когда обмен данными легко подделывается.