LINUX.ORG.RU

Сертификат Х509 для веб морды эмбеда с заранее неизвестным IP

 , ,


0

3

Есть свой УЦ. У пользователей сертификат уже установлен в барузерах, для другой фигни.

На веб морду надо HTTPS да такой, чтоб не ругался браузер что он его знать не знает. Сложность в том что у веб морд в проде будут самые разыне айпи и, соответственно, заранее сертификат туда не сгенерить.

Как эта проблема решается по уму? Отказ от шифрования? На каждой железке генерить самоподписанный и просить пользователя ему доверять? На каждую железяку складывать приватный ключ от УЦ и генерить на месте когда уже узнаешь айпи?

★★★★★
Ответ на: комментарий от Harald

ну значит, спецы из NSA расковыряют железку, выяснят, что она дырявая, публично заявят, что злые русские хакеры поставляют бэкдорное железо, на твою контору накладывают санкции, контора разоряется, тебя увольняют, идёшь бомжевать под мост и помираешь от голода и холода :)

Как замечательно и по-правильному было бы все что ты шутишь, если бы не его величество бабло: контора от имени которой я безобразничаю (на самом деле навожу порядок, ибо оно годами там в проде и в количестве) – буржуйская, а я в ней тружусь благодаря благословнному интернету и тому что за те денньги, за которые они захомутали рядового лоровца, они в своих америках-европах могут нанять на эту должность довольно опытного дворника и пока они с каждого моего трудового дня имеют коопечки в 100 раз больше чем платят мне – хрен они меня отправят бомжевать под мост! )

pihter ★★★★★
() автор топика
Ответ на: комментарий от Harald

можно смело предполагать, что таки да, голой жопой в интернет смотрит

там сильно по-разному бывает: мы должны быть готовы к обоим случаям

pihter ★★★★★
() автор топика
Ответ на: комментарий от anonymous

современные браузеры будут ругаться, если срок действия превышает 398 дней

это где написано? У нас щас юзаются 10-тилетние и все хавают и добавки просят

pihter ★★★★★
() автор топика
Ответ на: комментарий от pihter

возможно это ограничение действует для публичных CA и глобальных интернетов, а для самостоятельно добавленного локального CA — нет

Harald ★★★★★
()
Ответ на: комментарий от Harald

но это всё плохое

да этож какие-то гигобайты выйдут: у меня эмбед не резиновый!!!

pihter ★★★★★
() автор топика
Ответ на: комментарий от Harald

ты видать много жил в академической среде.
в прикладной среде пока рак на горе не свистнул, ничего не переделывается, ибо «работает и отлично».
начнешь переделывать - начнутся и проблемы. и проблемы будут все изза тебя. а кому ентое нужно ??

pfg ★★★★★
()
Ответ на: комментарий от anonymous

https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/

July 9, 2020

хм.. видать от записи в блоге до прода у них какое-то время проходит, ибо, не будь я Карлос Санчос, я прям сегодня видел как ФФ хавал наше вотэтовот, и это не у меня на диване, где все протухшее, а у парня на винде, где огнелис вроде даже обновляется иногда…

pihter ★★★★★
() автор топика

А в сабжевой задаче HTTPS точно нужен в принципе? Если железка в локальной сети всегда, пусть по голому HTTP гоняет, зачем иллюзию безопасности зря создавать.

Harald ★★★★★
()
Ответ на: комментарий от Harald

через десять лет вполне вероятно текущие железки выйдут из моды или требования поменяются так, что они, будучи полноценно рабочими, не будут соответствовать требованиям определяющих документов…. и т.д. и т.п.

pfg ★★★★★
()
Ответ на: комментарий от Harald

это всё не повод делать не по канонам информационной безопасности

да я толко за, но решать-то не мне: и я предложу оба-два варианта и выберут тот, что подешевле и выглядит (зеленая адресная строка) сносно. Лично мне приятнее делать по-христу, но менеджемент все норовит повысить мою эффективность: все по-рыночному

pihter ★★★★★
() автор топика
Ответ на: комментарий от pihter

ну по крайней мере письменный пруф для «я же говорил» в будущем надо сделать :)

Harald ★★★★★
()
Ответ на: комментарий от Harald

а через 10 лет нужно будет купить новую железку?

обновить прошивку. Собсна, текущий кипишь и отряжение меня на этот вопрос как раз и вызван приближающимся истечением срока предыдущего: то есть граждане буржуи уже 10 лет имеют профит вот с такого вот хттпс-а )

pihter ★★★★★
() автор топика
Ответ на: комментарий от pihter

хех вполне возможно.
примерно года два назад точно помню натыкался что браузер (какой не помню) матерился и не пускал при нажатии с шифрованного https:// сайта на ссылку с локальным нешифрованным урликом http://127.0.0.1:12345 для передачи параметров с сайта в локальную прогу.
приходилось долго мудрить с установкой сертификатов, учитывая что они не устанавливались у половины пользователей….
потом видел сообщение в теме обсуждения этого поведения что в браузерах допустили вход на локальные адреса без шифрации.
так что браузерщики тоже люди…

pfg ★★★★★
()
Ответ на: комментарий от Harald

А в сабжевой задаче HTTPS точно нужен в принципе?

Имхо – нет, но где мое имхо и где хотелки продажников?

Если железка в локальной сети всегда, пусть по голому HTTP гоняет, зачем иллюзию безопасности зря создавать.

не всегда в локалке, да и выше справедливо заметили, что еще до того как ковид нас всех попередушит, http в браузерах дропнут окончательно

pihter ★★★★★
() автор топика
Ответ на: комментарий от pihter

ну даже в текущих браузерах есть возможность забить на неподписанный сертификат.
у меня опенврт-роутер такой сертифкат подкидывал, и в браузере можно было нажать и согласиться что ентому сертификату можно доверять.

pfg ★★★★★
()

ты смог поставить всем клиентам свой корневой сертификат, но не знаешь, какой айпи будет у железки? что-то здесь не вяжется

anonymous
()
Ответ на: комментарий от pfg

ну да – на том оно нынче и стоит

pihter ★★★★★
() автор топика
Ответ на: комментарий от anonymous

ты смог поставить всем клиентам свой корневой сертификат, но не знаешь, какой айпи будет у железки? что-то здесь не вяжется

суровый мир ынтерпрайза ) за деньги кастомеров еще и не такое бывает!

pihter ★★★★★
() автор топика
Ответ на: комментарий от pihter

ваше вотэтовот — это подписанное вашим УЦ и добавленное в исключения 10 лет назад? ну ничего не мешает его продолжать использовать, раз уж он уже в исключениях.

fegipat
()
Ответ на: комментарий от pihter

слишком махровый легаси, чтоб кто-то там ради такой фигни стал доменную инфраструктуру разводить, а так – да, я бы так и сделал

mDNS в помощь

fegipat
()
Ответ на: комментарий от firkax

дегенерат, стандарты надо читать глазами и понимать мозгом, а не предполагать на основании нащупанного кривыми руками

anonymous
()
Ответ на: комментарий от firkax

Уважаемый(ая, ые) гр. firkax! Мы получили прочли ваше интересное письмо. Сообщаемые вами факты хорошо известны науке и интереса не представляют. Тем не менее, мы благодарим вас за ваше наблюдение и желаем вам успехов в работе и личной жизни.

fegipat
()
Ответ на: комментарий от fegipat

совершенно пустое и потому отличное письмо. в тему не вникал, особенности темы не понял - надеюсь успокоился и замолчал.

pfg ★★★★★
()

Пишишь суровый энтерпрайзный сервер на джаве, к кторому твои железки будут коннектится по суровому энтерпрайзному заобфусцированому протоколу. Никакого прямого доступа к железкам. Ставишь сервер у заказчика, делаешь под него сертификат. Дерешь с заказчика отдельные деньги за сервер по количеству подключённых железок.

anonymous
()
Ответ на: комментарий от fegipat

ну ничего не мешает его продолжать использовать, раз уж он уже в исключениях.

похоже, так они и сделают )

pihter ★★★★★
() автор топика
Ответ на: комментарий от anonymous

за деньги кастомера ты мог бы узнать планируемый айпишник

не мог бы: их тысячи

pihter ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Пишишь суровый энтерпрайзный сервер на джаве

это было начало века: все помешались на веб интерфейсах, всем подавай жисоны и хттпэсы… на кой пес там вообще веб на оконечных железяках – загадка. Но мир устроен так чтоб я страдал )

pihter ★★★★★
() автор топика

А какая разница какой там ip? Генерите uuid при первом запуске и используйте его как имя хоста. Dyndns и certbot вроде уже изобрели

cobold ★★★★★
()
Ответ на: комментарий от cobold

Интранеты и здоровое нежелание завязывать продаваемые железки на чужую инфру изобрели ещё раньше.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Да не, я не предлагаю пользоваться конкретно этими сервисами, а принципами заложенными в этих сервисах

cobold ★★★★★
()
Ответ на: комментарий от cobold

Если принципы dyndns начать переносить на сабжевый интранетовый монодевайсовый сценарий, то ничего толком не останется.

t184256 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.