Ogni dispositivo dello stesso modello ha certificati SSL diversi per loro?

Di norma, ognuno dovrebbe essere unico.

La chiave privata associata a un certificato deve essere segreta. Se quel segreto esce, allora non offrono alcuna protezione. Puoi presumere che chiunque abbia il possesso di un dispositivo possa estrarre la chiave da quel dispositivo, quindi desideri che ogni chiave sia univoca.

I certificati non devono essere firmati per offrire protezione. Aiuta, ma la crittografia funziona ancora senza la firma. Se devi decidere tra un certificato non firmato e una chiave compromessa, penso che la situazione sia peggiore con una chiave compromessa.

Per comunicare con un server remoto, è necessario un certificato solo per l'esecuzione del server, non per la connessione ad esso.

Viene usato un certificato per assicurarti di connetterti al dispositivo corretto, ovvero che nessun man-in-the-middle stia intercettando la connessione. Se si utilizza lo stesso certificato su molti dispositivi che vengono spediti a molti clienti diversi, l'obiettivo di una verifica corretta se il proprio dispositivo non può essere raggiunto. A parte il fatto che ognuno di questi dispositivi probabilmente contiene la stessa chiave privata, l'estrazione della chiave privata da uno di questi dispositivi farebbe sì che un attaccante intercettasse la comunicazione di tutti gli altri e, a seconda dei codici utilizzati, sarebbe anche in grado di per decodificare anche il traffico crittografato precedentemente intercettato.

Quindi il modo usuale è creare un certificato univoco per ogni dispositivo, con una chiave pubblica e privata univoca. Ancora meglio è lasciare che l'utente sostituisca il certificato con il proprio, perché in questo modo può essere meglio integrato nella propria infrastruttura.