硬件设备上的安全 websockets
Secure websockets on hardware device
我有一个硬件设备通过 websockets 与浏览器进行通信。问题是我想要一个安全连接,不幸的是浏览器不连接到自签名证书。
问题是每个硬件设备都可以有另一个 IP,并且证书在域上受到限制。
我无法为每个硬件购买证书。那我该怎么办?
The problem is that I want a secure connection, unfortunately browsers don't connect to self signed certificate.
证书用于安全地识别对等方。正确的识别是必要的,以确保没有中间人攻击是可能的。因此,在 100 台不同的机器中共享相同的证书是没有意义的,而且无论如何您都无法保证相同私钥的安全。
备选方案是自签名证书。但是在这种情况下,浏览器不会在没有警告的情况下连接,因为如果他们愿意,中间人攻击将是微不足道的。这意味着用户必须明确承认此证书是可信的,并且您必须教育用户如何使用各种浏览器完成此操作。
如果浏览器和设备都在一个控制之下(比如在公司范围内推出),您可以改用自己的 PKI 结构,其中所有证书都由您自己的 CA 颁发,并且该 CA 受到所有浏览器的信任.
the problem is that every hardware device can have another IP, and certificates are limited on domains.
不,也可以生成证书来识别 IP 地址。您通常不会通过 public CA 获得这些证书,但私有 CA 可以颁发此类证书,自签名证书也可以。当然,只有在 IP 长期不变的情况下,使用 IP 地址而不是名称才有意义。
我有一个硬件设备通过 websockets 与浏览器进行通信。问题是我想要一个安全连接,不幸的是浏览器不连接到自签名证书。 问题是每个硬件设备都可以有另一个 IP,并且证书在域上受到限制。 我无法为每个硬件购买证书。那我该怎么办?
The problem is that I want a secure connection, unfortunately browsers don't connect to self signed certificate.
证书用于安全地识别对等方。正确的识别是必要的,以确保没有中间人攻击是可能的。因此,在 100 台不同的机器中共享相同的证书是没有意义的,而且无论如何您都无法保证相同私钥的安全。
备选方案是自签名证书。但是在这种情况下,浏览器不会在没有警告的情况下连接,因为如果他们愿意,中间人攻击将是微不足道的。这意味着用户必须明确承认此证书是可信的,并且您必须教育用户如何使用各种浏览器完成此操作。
如果浏览器和设备都在一个控制之下(比如在公司范围内推出),您可以改用自己的 PKI 结构,其中所有证书都由您自己的 CA 颁发,并且该 CA 受到所有浏览器的信任.
the problem is that every hardware device can have another IP, and certificates are limited on domains.
不,也可以生成证书来识别 IP 地址。您通常不会通过 public CA 获得这些证书,但私有 CA 可以颁发此类证书,自签名证书也可以。当然,只有在 IP 长期不变的情况下,使用 IP 地址而不是名称才有意义。