我們擁有擁有公共IP地址的設備,我們沒有SSH訪問權限。爲了確保他們的登錄屏幕,我們需要使用HTTPS,但是當我們這樣做時,它總是抱怨由於SSL證書不正確而導致的不安全連接。我知道我們不能在IP上發出SSL證書,但另一個問題是我們無法訪問設備,以便安裝新的SSL證書。那麼這種情況下的安全建議是什麼?在SSL不匹配的情況下,流量是否仍然安全並加密?如何保護具有公共IP地址的設備的網絡登錄
我知道我們可以限制有權訪問此IP的網絡,但有沒有其他安全措施?
您的主要問題是主動攻擊者。當您通過HTTPS連接時,服務器將發送其證書,聲稱是您嘗試連接的Web服務器(我們稱之爲「SecureServer」),證書頒發機構(CA)將負責發佈你知道「SecureServer」是否真的是它自稱的人。當使用自簽名證書或類似的東西時,會有一個警告讓你知道它不是一個安全的連接,因爲無法驗證「SecureServer」是否真的是它自稱的,畢竟,你'不是一個CA,因此,你甚至可以爲「google.com」創建證書,但由於你不是權威,所以沒有人會信任你。
現在,問題在於,如果有人想連接到您的設備,他們會看到該警告,他們會像「哦,是的,這一直髮生,只是跳過它,繼續工作」,但是主動攻擊者可以攔截該通信,添加他自己的證書而不是服務器證書和voilá,現在他可以訪問您的加密通信,因爲現在通信在您和攻擊者之間,如果您在等待對於來自服務器的響應,他還可以與服務器建立通信,因此他會將所有請求轉發給服務器,同時讀取您的所有請求和服務器響應。所有這一切都是可能的,因爲一旦主動攻擊者攔截了通信,你就會看到這個警告,但是你所有的用戶都習慣於忽略這個警告,他們只會接受通信,而當使用由一個CA,如果他們看到這個警告,他們就會知道有什麼不對勁。
老實說,對我來說,你可以在這裏做的最好的事情就是使用CA頒發的證書。另外,根據this answer,您可以在IP地址上發出SSL證書(我以前從未嘗試過,但可能值得嘗試)。您還提到您無法使用硬件來安裝該證書,但我猜測您可以向有權訪問該證書的人請求,只需說明情況,如果他/她是合理的人員,他/她會理解問題並將安裝新的證書。因爲誠實地說,僅僅限制IP範圍或類似的東西,只是一種應該正確實施的解決方法。
感謝Esteban的詳細回覆。這真的很有道理,你說的。我會考慮如何使用正確的SSL證書來保護連接。誠實地說,IP地址上的SSL證書對我來說毫無意義。 –