Come configurare HTTPS per le distribuzioni senza un nome host

5

Attualmente sono responsabile dell'hardware basato su Linux in rete che espone le connessioni HTTP. Voglio potermi connettere a questi tramite HTTPS, ma la distribuzione dell'hardware ha migliaia di installazioni. Ho letto dei problemi con i certificati autofirmati e sono incerto su come procede. Inoltre, alcuni di questi potrebbero o meno essere su LAN private, quindi non posso garantire che ci sia una connessione Internet, ma vorrei crittografare il traffico perché potrebbe essere esposto a Internet a seconda del tipo di distribuzione.

Ho avuto dei pensieri riguardo l'eventualità di inoltrare il traffico HTTP su un socket SSL con una chiave condivisa e di inoltrare tutto questo traffico a una connessione proxy principale, ma non sono sicuro che questa sia effettivamente la strada da percorrere.

Grazie

    
posta Bradford Medeiros 30.03.2018 - 22:13
fonte

1 risposta

4

I certificati jolly vengono in mente, supponendo che i tuoi mille siti diversi corrispondano ai sottodomini di un singolo dominio. Questo funzionerà sia per siti Web pubblici che per siti Web disponibili solo tramite LAN.

Se questo non è il caso, cioè se usi davvero migliaia di domini diversi, allora puoi pensare di automatizzare la generazione dei certificati. Se stai usando (o vuoi usarlo) Let's Encrypt, la procedura è automatizzata in qualsiasi modo, quindi il numero di domini non farà alcuna differenza in termini di tempo che trascorrerai. Assicurati, tuttavia, di controllare le quote; provare a registrare più domini contemporaneamente probabilmente supererà i limiti consentiti.

Let's Encrypt non ti consente di creare un certificato per un sito web che non è accessibile da internet (o almeno non accessibile dai server Let's Encrypt). Per quei siti web, andrei con certificati autofirmati. Il motivo per cui non è possibile utilizzare certificati autofirmati per i siti Web pubblici è che non verranno riconosciuti dai browser: per accedere a tale sito Web, il visitatore dovrà accettare un certificato autofirmato, che è una pratica che dovrebbe essere scoraggiato a tutti i costi dagli utenti non tecnici. Dato che hai a che fare con la LAN, puoi probabilmente distribuire la CA autofirmata alle macchine client, il che significa che non ci saranno avvisi qui.

Ovviamente, la gestione dei certificati autofirmati (e la protezione corretta delle chiavi private) richiede esperienza; ma anche i certificati che usano Let's Encrypt.

I've had thoughts about possibly forwarding http traffic over a ssl socket with a shared key, and proxying all of this traffic to a main proxy connection, but I'm unsure if this is actually the way to go.

Suppongo che tu stia parlando di un proxy inverso che dovrà decifrare il traffico TLS. Questo è davvero un approccio che viene utilizzato molto, tuttavia, si presuppone che è necessario crittografare il traffico tra il proxy inverso e l'utente finale, ma il traffico tra il proxy inverso e il back-end è completamente sicuro. Questo non è sempre il caso (cosa ti fa pensare che nessuno abbia trovato un modo per uno dei migliaia di server?), E specifici settori (come i servizi bancari) potrebbero avere leggi o politiche specifiche che rendono obbligatorio crittografare il traffico anche all'interno della LAN .

    
risposta data 31.03.2018 - 00:24
fonte

Leggi altre domande sui tag