WPA2 vs TLS

[Darkhunter]

Router je zároveň server, router ven a ap.
Já se prostě bojím výpadků, proto to nechci řešit přes LE.
To už si radši koupím certifikát na 3 roky a pak ho hromadně vyměním.
Pokud to APčko bude zároveň DNS server, tak můžu si udělat třeba doménu example.test.com a používat jí na každém tomhle APčku a bude mi stačit jeden certifikát ne?

[Reklama]

[Filip Jirsák]

Nerozumím tomu, co chcete na jednom AP dělat hromadně, co znamená „každé tohle AP“, když píšete o jednom AP. Opravdu by pomohlo, kdybyste přestal tajit, co vlastně řešíte. Pokud je těch AP víc a dokonce je možná nemáte ve vlastní správě, je dát na ně jeden společný certifikát a jeden privátní klíč to nejhorší možné řešení (a nevím, proč pak chcete řešit nějakou bezpečnost). LE vám právě umožňuje mít snadno certifikátů kolik potřebujete.

Já se prostě bojím výpadků, proto to nechci řešit přes LE.

Jakých výpadků se bojíte?

[Darkhunter]

Pracujeme na lepším řešení pro EET s tím, že zaměstnanci se mohou připojit z mobilů a komunikovat tak s backendem.
Proto těch raspberry bude hodně a zároveň se budou krom zaměstnanců připojovat jejich zákazníci.
Potřebuji, aby to bylo 100% failsafe, proto se nechci spoléhat na LE a ani nemůžu. Ty raspberry prostě nemají doménu.

[Filip Jirsák]

Pokud se na to mají připojovat zákazníci, domény potřebujete, protože zákazníci se na žádné IP adresy a ještě s nedůvěryhodnými certifikáty připojovat nebudou. Doménu klidně můžete mít svou a vaši klienti si tam budou vytvářet poddomény, např.  hospoda-na-mytince.lepsi-reseni-pro-eet.cz.

[Dzavy]

No a co je za problem udelat vlastni CA, do kazdyho raspberry pri vyrobe/dodani prdnout unikatni certifikat vydanej tou CA s CN=<MAC adresa> a platnosti 10 let, a tu CA pak distribuovat spolu s tou aplikaci?

A jestli je to Raspberry zaroven "router" s DNS serverem, tak neni problem udelat, aby na A zaznam pro <MAC addresa>.local odpovidal svou vnitrni IP. Pripadne se da pouzit neco jako avahi.

[Reklama]

[Darkhunter]

AD Filip Jirsák:
Oni dostanou aplikaci s již zabudovanou adresou, kam se mají připojovat.
AD Dzavy:
Přesně takhle to mám v plánu udělat, ale hledal jsem něco jednoduššího.

[Jenda]

Chtěl bych vyjádřit své obavy, jak vaše řešení dopadne (z hlediska bezpečnosti i z hlediska funkčnosti). Opravdu si nechcete zaplatit někoho, kdo tomu rozumí? Nic ve zlém, ale podle těchto dotazů to prostě hrubě nedáváte.

[Darkhunter]

No já teda nevím. Pracuju s linuxem dost dlouho a když koukám, jak lidi okolo rozjíždí svoje projekty s tím, že na serverech mají root heslo 1234 a nikdy s linuxem nedělali, tak si říkám, že to máme zabezpečené dobře.
Navíc proč bychom to měli mít zabezpečené špatně? Však jsem chtěl akorát radu a lidi mi poradili přesně to, co jsem se chystal dělat.
A ne...Nehodlám si nikoho zaplatit. Nemám ani korunu, takže fakt ne...

[Filip Jirsák]

Pokud bude klientem vždy vámi předkonfigurovaná aplikace, můžete klidně použít self-signed certifikáty, kterým nastavíte platnost třeba 100 let, a v klientovi ani platnost certifikátu nemusíte validovat. Osobně si tedy nedovedu představit use-case, kdy si zákazníci někoho spadajícího pod EET budou instalovat nějakou aplikaci, ještě pro každého poskytovatele služby jinou (jinak nakonfigurovanou), ale to je vaše věc.

Každopádně pokud chcete zabezpečit síťovou komunikaci proti odposlechu, musíte vždy ověřit protistranu. K tomu v TLS slouží certifikáty. A i kdybyste vymýšlel šifrované WiFi, stejně tam musíte mít nějaký certifikát nebo něco podobného, jak ověříte protistranu. Protože jinak se vám může stát, že budete komunikovat sice hezky šifrovaně, ale s útočníkem.

když koukám, jak lidi okolo rozjíždí svoje projekty s tím, že na serverech mají root heslo 1234 a nikdy s linuxem nedělali, tak si říkám, že to máme zabezpečené dobře.

Zabezpečit síťovou aplikaci, ke které se může připojit kdokoli a která je nainstalovaná ve vám neznámém zařízení, to je úplně jiný level, než zabezpečit samotný server.

[#]

No já teda nevím. Pracuju s linuxem dost dlouho a když koukám, jak lidi okolo rozjíždí svoje projekty s tím, že na serverech mají root heslo 1234 a nikdy s linuxem nedělali, tak si říkám, že to máme zabezpečené dobře.
Navíc proč bychom to měli mít zabezpečené špatně? Však jsem chtěl akorát radu a lidi mi poradili přesně to, co jsem se chystal dělat.
A ne...Nehodlám si nikoho zaplatit. Nemám ani korunu, takže fakt ne...

Zrejme kolega narazi na to, ze toto zdaleka neni prvni dotaz ohledne vaseho EET projektu, vyvolavajici prinejmensim mirne rozpaky. Preju hodne stesti, bude potreba.

[Jose D]

vlastní CA.

[Palo M.]

vlastní CA.

Mám silný pocit, že takáto stručná rada (napriek tomu, že sa na túto situáciu najviac hodí a sám by som to riešil tiež takto), nebude v tomto prípade prípade postačujúca.

A ne...Nehodlám si nikoho zaplatit. Nemám ani korunu, takže fakt ne...

Sorry, ale z tvojich otázok vyplýva, že nevieš o týchto veciach vôbec nič. Sám to evidentne nezvládaš, zaplatiť nikoho nemieniš, a tuším si myslíš, že ti tu niekto do fóra len tak dá detailný popis všetkých potrebných náležitostí (čo by v praxi znamenalo, že niekto za teba urobí všetku robotu zadarmo a ty budeš potom už len inkasovať sám - tak good luck with it).
Chudáci tvoji zákazníci (ak teda náhodou nakoniec nejaké "riešenie" zbúchaš)...
Ale pre istotu by si si nejaké koruny mal začať šetriť už teraz - na právnika, pretože toho budeš potrebovať, keď ťa budú žalovať o náhradu škôd.