Сертификат Х509 для веб морды эмбеда с заранее неизвестным IP

ну значит, спецы из NSA расковыряют железку, выяснят, что она дырявая, публично заявят, что злые русские хакеры поставляют бэкдорное железо, на твою контору накладывают санкции, контора разоряется, тебя увольняют, идёшь бомжевать под мост и помираешь от голода и холода :)

Как замечательно и по-правильному было бы все что ты шутишь, если бы не его величество бабло: контора от имени которой я безобразничаю (на самом деле навожу порядок, ибо оно годами там в проде и в количестве) – буржуйская, а я в ней тружусь благодаря благословнному интернету и тому что за те денньги, за которые они захомутали рядового лоровца, они в своих америках-европах могут нанять на эту должность довольно опытного дворника и пока они с каждого моего трудового дня имеют коопечки в 100 раз больше чем платят мне – хрен они меня отправят бомжевать под мост! )

можно смело предполагать, что таки да, голой жопой в интернет смотрит

там сильно по-разному бывает: мы должны быть готовы к обоим случаям

это всё не повод делать не по канонам информационной безопасности

современные браузеры будут ругаться, если срок действия превышает 398 дней

это где написано? У нас щас юзаются 10-тилетние и все хавают и добавки просят

возможно это ограничение действует для публичных CA и глобальных интернетов, а для самостоятельно добавленного локального CA — нет

а через 10 лет нужно будет купить новую железку?

но это всё плохое

да этож какие-то гигобайты выйдут: у меня эмбед не резиновый!!!

ты видать много жил в академической среде.
в прикладной среде пока рак на горе не свистнул, ничего не переделывается, ибо «работает и отлично».
начнешь переделывать - начнутся и проблемы. и проблемы будут все изза тебя. а кому ентое нужно ??

https://blog.mozilla.org/security/2020/07/09/reducing-tls-certificate-lifespans-to-398-days/

July 9, 2020

хм.. видать от записи в блоге до прода у них какое-то время проходит, ибо, не будь я Карлос Санчос, я прям сегодня видел как ФФ хавал наше вотэтовот, и это не у меня на диване, где все протухшее, а у парня на винде, где огнелис вроде даже обновляется иногда…

не больше 4 лет

А в сабжевой задаче HTTPS точно нужен в принципе? Если железка в локальной сети всегда, пусть по голому HTTP гоняет, зачем иллюзию безопасности зря создавать.

через десять лет вполне вероятно текущие железки выйдут из моды или требования поменяются так, что они, будучи полноценно рабочими, не будут соответствовать требованиям определяющих документов…. и т.д. и т.п.

это всё не повод делать не по канонам информационной безопасности

да я толко за, но решать-то не мне: и я предложу оба-два варианта и выберут тот, что подешевле и выглядит (зеленая адресная строка) сносно. Лично мне приятнее делать по-христу, но менеджемент все норовит повысить мою эффективность: все по-рыночному

ну по крайней мере письменный пруф для «я же говорил» в будущем надо сделать :)

а через 10 лет нужно будет купить новую железку?

обновить прошивку. Собсна, текущий кипишь и отряжение меня на этот вопрос как раз и вызван приближающимся истечением срока предыдущего: то есть граждане буржуи уже 10 лет имеют профит вот с такого вот хттпс-а )

хех вполне возможно.
примерно года два назад точно помню натыкался что браузер (какой не помню) матерился и не пускал при нажатии с шифрованного https:// сайта на ссылку с локальным нешифрованным урликом http://127.0.0.1:12345 для передачи параметров с сайта в локальную прогу.
приходилось долго мудрить с установкой сертификатов, учитывая что они не устанавливались у половины пользователей….
потом видел сообщение в теме обсуждения этого поведения что в браузерах допустили вход на локальные адреса без шифрации.
так что браузерщики тоже люди…

А в сабжевой задаче HTTPS точно нужен в принципе?

Имхо – нет, но где мое имхо и где хотелки продажников?

Если железка в локальной сети всегда, пусть по голому HTTP гоняет, зачем иллюзию безопасности зря создавать.

не всегда в локалке, да и выше справедливо заметили, что еще до того как ковид нас всех попередушит, http в браузерах дропнут окончательно

ну даже в текущих браузерах есть возможность забить на неподписанный сертификат.
у меня опенврт-роутер такой сертифкат подкидывал, и в браузере можно было нажать и согласиться что ентому сертификату можно доверять.

по стандартам сертификат на айпи - нельзя

цитату из стандарта, быстро

ты смог поставить всем клиентам свой корневой сертификат, но не знаешь, какой айпи будет у железки? что-то здесь не вяжется

ну да – на том оно нынче и стоит

прочитал всю тему до конца, быстро

не соскальзывай с шишки

ты смог поставить всем клиентам свой корневой сертификат, но не знаешь, какой айпи будет у железки? что-то здесь не вяжется

суровый мир ынтерпрайза ) за деньги кастомеров еще и не такое бывает!

ваше вотэтовот — это подписанное вашим УЦ и добавленное в исключения 10 лет назад? ну ничего не мешает его продолжать использовать, раз уж он уже в исключениях.

за деньги кастомера ты мог бы узнать планируемый айпишник

слишком махровый легаси, чтоб кто-то там ради такой фигни стал доменную инфраструктуру разводить, а так – да, я бы так и сделал

mDNS в помощь

дегенерат, стандарты надо читать глазами и понимать мозгом, а не предполагать на основании нащупанного кривыми руками

Лучше уж по ip чем эта муть.

Уважаемый(ая, ые) гр. firkax! Мы получили прочли ваше интересное письмо. Сообщаемые вами факты хорошо известны науке и интереса не представляют. Тем не менее, мы благодарим вас за ваше наблюдение и желаем вам успехов в работе и личной жизни.

совершенно пустое и потому отличное письмо. в тему не вникал, особенности темы не понял - надеюсь успокоился и замолчал.

Пишишь суровый энтерпрайзный сервер на джаве, к кторому твои железки будут коннектится по суровому энтерпрайзному заобфусцированому протоколу. Никакого прямого доступа к железкам. Ставишь сервер у заказчика, делаешь под него сертификат. Дерешь с заказчика отдельные деньги за сервер по количеству подключённых железок.

ну ничего не мешает его продолжать использовать, раз уж он уже в исключениях.

похоже, так они и сделают )

за деньги кастомера ты мог бы узнать планируемый айпишник

не мог бы: их тысячи

mDNS в помощь

хороший план – но не удастся )

Пишишь суровый энтерпрайзный сервер на джаве

это было начало века: все помешались на веб интерфейсах, всем подавай жисоны и хттпэсы… на кой пес там вообще веб на оконечных железяках – загадка. Но мир устроен так чтоб я страдал )

ну тогда страдай

А какая разница какой там ip? Генерите uuid при первом запуске и используйте его как имя хоста. Dyndns и certbot вроде уже изобрели

Интранеты и здоровое нежелание завязывать продаваемые железки на чужую инфру изобрели ещё раньше.

Да не, я не предлагаю пользоваться конкретно этими сервисами, а принципами заложенными в этих сервисах

Если принципы dyndns начать переносить на сабжевый интранетовый монодевайсовый сценарий, то ничего толком не останется.