我目前正在贝尔法斯特女王大学攻读应用网络安全硕士学位。我正在做关于简单SSL主题的论文。
在此项目中,我们正在研究如何对具有Web界面的本地网络设备(如IP摄像头)使用SSL加密。当前的浏览器将自签名证书视为安全威胁,并且我们可以确定在此上下文中没有可信的方法来使用SSL。
在我的论文主管John Bustard博士的监督下,我已经实现了解决方案。
我想问一下,我们真的需要在localhost /本地网络上使用https或http是否正常?
我想问一下,我们真的需要在localhost /本地网络上使用https或http是否正常?
localhost(127.x.x.x)上的HTTPS浪费资源,因为您正在加密未通过实际网络的网络流量。
本地网络上的HTTPS在现实世界中非常有价值,因为现实情况是,您不能信任您的本地网络,而不是信任互联网。如果您拥有有价值的数据,则始终有一种拦截流量的方法。
所有公共证书颁发机构都不会为本地网络颁发证书。这通常通过在本地网络上创建CA并将CA的证书作为受信任的根安装在工作站和设备上来实现。
问题在于,像摄像头这样的廉价设备通常不允许最终用户安装受信任的根证书,这意味着他们无法使用新证书在本地网络上实施SSL。
摄像机通常附带制造商的证书,但是它是否受信任(或应该受信任)是一个不同的问题。它可能由制造商自行签名,也可能来自不受信任或未知的CA.
TL / DR:本地网络上的大多数设备都可以使用本地CA颁发的证书。用户不能/不知道如何更新的廉价网络设备是安全问题。