HTTP/S a certifikáty v embedded zařízeních

[redustin]

Rozchodit Nginx-proxy není těžké, a jak to začne být potřeba pro ty USB věci, nejspíš se rozšíří i nějaký tool, co to zabalí do klikátka i s generováním certifikátu a instalací do systému.

Není to těžké, ale obávám se, že instalace third-party proxy není pro běžného uživatele reálná, bude se logicky ptát, proč tak složitě, proč nemá krabička ovládací aplikaci.

Ono USB krabiček s takhle složitou prací s USB zatím moc není, protože je USB gadget v linuxu poměrně nová méně známá technologie (samozřejmě kromě Androidu) a psát celou takovou podporu v nějakém mikrokontroléru mi přijde dost složité.

[Reklama]

[XXX_Sam_XXX]

Doporucuju obcas navstivit nejakou fabriku, kde se pouzivaji embedded devices a proskenovat si to tam.
Resp. "podivat" se na SW, ktery s nima komunikuje.
Security through obscurity v 99% pripadu a naprosto deravy jak cednik.

Nejaky certifikaty, to je tresnicka na dortu.
Respekt vsem ostatnim, kde se ta bezpecnost opravdu resi.

[M_D]

Řeší se interní CA.

Díky. A jak s tím zkracováním akceptované délky platnosti certifikátů? Je nějaký standard pro vydávání certifikátů interní CA (něco jako ACME), který by se běžně na embedded zařízeních používal - tedy něco jako že se zadá jen název stroje s interní CA a ono si to už bude o certifikáty žádat samo, pomocí standardního protokolu, všechny "krabičky" stejným způsobem?

Zkracování se týká těch veřejných CA. Pokud si udělám vlastní privátní CA a naimportuji do prohlížeče/OS, tak stále ve Firefoxu, Chrome, Edge jedou dlouhé doby platnosti. Jen Safari to řeže a odmítá certy s platností nad 2 roky (nad cca 384 dní). Chrom na jabkách to také nějakou dobu takto dělal, co používal OS validátor, ale asi to už opravili.
Tohle je ale řešení pro firmu a interní/technologické systémy. Pro veřejnost ne.
Protokolů je několik, včetně historického SCEP, ale z pohledu embedded světa to skoro nic neumí. U řady ani nejde ručně vyměnit to, co tma je od výrobce/samo si vygenerovalo při zapnutí. V řadě případů u nejrůznějších technologických embedded krabic, tak i u nových, je HTTPS stále sprosté slovo. Nebo zapnutí HTTPS tu krabici totálně odvaří, protože je v tom CPU, co to nedává. Třeba si hraju teď s analyzátorem plynů, bedna za XX MKč, má to web, po zapnutí HTTPS přestane půlka věcí fungovat a přihlášení trvá cca 10 minut, proti pár vteřinám na HTTP a ve většině případů to skončí timeoutem. Něco, že by šlo třeba změnit default heslo, tak to je z říše snů.... To je ta technologicko/výrobní realita zmiňovaná o příspěvek výše. :-)

[r223]

Rozchodit Nginx-proxy není těžké, a jak to začne být potřeba pro ty USB věci, nejspíš se rozšíří i nějaký tool, co to zabalí do klikátka i s generováním certifikátu a instalací do systému.

Není to těžké, ale obávám se, že instalace third-party proxy není pro běžného uživatele reálná, bude se logicky ptát, proč tak složitě, proč nemá krabička ovládací aplikaci.

Ono USB krabiček s takhle složitou prací s USB zatím moc není, protože je USB gadget v linuxu poměrně nová méně známá technologie (samozřejmě kromě Androidu) a psát celou takovou podporu v nějakém mikrokontroléru mi přijde dost složité.

Právě, že to ani tak složité není.

[luvar]

Len jedna ukazka, co je realne, ked sa niekto snazi: https://hackaday.io/project/186999-canique-pico-gateway
vybrane tls 1.2 algoritmy a cca 1.2 sekundy na nadviazanie tls spojenia... Ked clovek nevybera a ide nahodne, tak sa kludne moze dostat na timeout pri 125 MHz mcu. Vid https://forums.raspberrypi.com/viewtopic.php?t=362979 kde spominaju 9 az 12 sekund na nadviazanie spojenia.

Inak povedane, chce to nejake usilie na strane navrhu/vyvojara a tls (https) je zvacsa to posledne, co sa pri produkte riesi. Preto to vypada tak, ako to vypada. Plus ak chcem platny certifikat na domacej sieti (platny = pride na navstevu sused a pojde to aj jemu na mobile bez pridavania vlastneho certifikatu), tak musim vlastnit nejaku verejnu domenu. Aspon nijak inak si neviem predstavit, ze si vydam platny certifikat... Mozno existuje na to aj sluzba, co rozdava certifikaty na domeny ako ujoKarolZPlzne.domaceCertifikaty.root.cz a podobne.

[Reklama]

[redustin]

Děkuji všem moc za dosavadní diskusi.

Zkoušel jsem importovat CA certifikát z .crt souboru (který by byl vygenerovaný na krabičce -> USB mass storage disk), ve windows s tím nebyly žádné problémy, ani do Trusted Root Certification Authorities storu. To by zvládl i laik.

Takový kořenový certifikát s plnými možnostmi podepisování by byl z hlediska bezpečnosti neakceptovatelný. Nicméně zdá se, že by již měla fungovat možnost omezit jeho podepisování pouze na konkrétní domény - viz https://security.stackexchange.com/questions/31376/can-i-restrict-a-certification-authority-to-signing-certain-domains-only . To mi přijde už jako rozumné řešení - uživatel by si jednoduše naimportoval CA kořenový certifikát, který by směl podepisovat pouze doménu .local , tedy jen pro zeroconf/mDNS přístupy. Nic víc bych pro tento účel asi nepotřeboval.

[František Ryšánek]

Ono se zřejmě dá, provozovat si privátní CA s podporou ACME v roli serveru. Zřejmě horší problém je, do embedded krabiček dostat certbot klienta nebo něco podobného. Bezpečnostní cirkus je důmyslná soustava navzájem zaklesnutých bludných kruhů... :-( Ustřelit si omylem nohu je snazší než kdy dřív...

[redustin]

Díky. V mém případě by krabička byla plně pod mou kontrolou, tudíž by mohla dělat cokoliv. Jen přesvědčit browser, aby byl (i za pár let) ochoten si s ní povídat :-) Bez instalace nějaké další služby na síti a v ideálním případě i bez instalace čehokoliv dalšího (third-party) na připojeném PC s browserem.