Utilizza i certificati autofirmati un'opzione per questo scenario m2m

Naviga le tue risposte
1

Immagina di avere un paio di centinaia di dispositivi incorporati nel campo che devono essere gestiti in remoto tramite SSH o HTTPS.

Questi dispositivi integrati sono esposti su Internet ma sono installati in posizioni sicure. Vengono inseriti in un contenitore a cui non è possibile accedere da personale non autorizzato.

Le persone che richiedono l'accesso remoto a questi dispositivi sono limitate e sono dedicate al personale di supporto.

Qual è il rischio di utilizzare certificati autofirmati in questo caso? Fornire noi

  • comunica chiaramente alle persone che hanno bisogno di accedere a questi sistemi che si tratta di certificati server autofirmati.

  • installiamo il certificato CA radice sui client

posta ddewaele 31.10.2014 - 22:38
fonte

1 risposta

2

using self-signed certificates ... we install the root CA certificate on the clients

Le tue dichiarazioni sono in conflitto: o hai (la tua) CA radice per firmare tutti i certificati, o tutti questi certificati sono solo firmati da soli (autofirmati), il che significa che non esiste una CA radice.

Se tutte le macchine sono gestite dalla stessa parte, è possibile utilizzare una CA radice affidabile comune per tutti i certificati. Non semplifica solo tutto, ma può essere effettivamente più sicuro se tutti i client utilizzati per gestire le macchine accettano solo questa singola CA come attendibile e se questa CA emette solo certificati per queste macchine. Avere certificati autofirmati è invece un incubo di manutenzione, perché è necessario affidarsi esplicitamente a ciascuno di questi certificati invece di fidarsi solo di una singola CA.

Tuttavia, dubito che sarai in grado di implementare la tua CA in modo sicuro in base alle tue attuali conoscenze. Dal momento che un compromesso della vostra CA comprometterebbe immediatamente i certificati di tutte le vostre macchine, vi consiglio caldamente di avere a bordo un professionista della sicurezza riconosciuto (anziché un autoproclamato) per aiutarvi con questo problema.

A parte ciò potrebbe essere una buona idea porre tali domande a security.stackexchange.com.

    
risposta data 01.11.2014 - 04:36
fonte

Leggi altre domande sui tag

Exploit non riuscito [non raggiungibile]: Rex :: ConnectionTimeout Timeout della connessione (IP dell'host remoto) Facebook può accedere alla mia app?