Comment changeriez-vous un routeur sans fil domestique avec un certificat de site administrateur auto-signé pour plus de sécurité?

3

littleblackbox publie des "clés privées" accessibles sur des firmwares publiquement disponibles. Debian appelle ces certificats "huile de serpent". La plupart de ces routeurs sécurisent leurs certificats HTTPS avec ceux-ci, et comme j'y réfléchis, je n'ai jamais vu un de ces sites Web d'administration interne avec des certificats sans signature.

Avec un serveur Web sur IP 192.168.1.1, comment le sécuriser au point que Firefox ne propose pas d’avertissements (et est toujours sécurisé)?

security ssl-certificate private-key

— Jldugger
source

2

La réponse dépend entièrement du produit que vous utilisez. Si cela vous permet d'installer votre propre certificat SSL, installez-en un à partir d'une autorité de certification approuvée par votre navigateur (éventuellement votre propre autorité de certification).

Si vous ne pouvez pas remplacer le certificat auto-signé sur le routeur, vous utilisez principalement SOL.

Je ne suis pas sûr qu'il y ait beaucoup de risque réel ici. Le profil d'attaque est plutôt petit. Une personne qui détecte le réseau au bon moment peut obtenir le mot de passe administratif de votre routeur, mais les chances que cela se produise semblent plutôt minimes, à moins que vous vous authentifiiez fréquemment auprès de votre routeur.

— alsacs
source

Supposons que je puisse installer un nouveau certificat SSL. Que dois-je utiliser pour le domaine? Les CA ne signeront sûrement pas une adresse IP.

— Jldugger

@jldugger: Je pense que la plupart vont signer un certificat avec une adresse IP comme nom commun.

— DerfK

3

De plus, puisqu'il s'agit vraisemblablement de votre propre environnement, vous pouvez établir un nom d'hôte pour le routeur et l'utiliser ... et, encore une fois, vous pouvez simplement créer votre propre autorité de certification et configurer votre navigateur pour lui faire confiance, puis vous pouvez appeler tu veux. Par exemple, debian-administration.org/articles/618 .

— larsks

1

Je suppose que Firefox se plaint parce que le certificat est auto-signé, ce qui est généralement le cas.

Pour ce faire, vous pouvez soit ajouter une exception dans FireFox, soit obtenir un certificat valide. La dernière fois que j'ai vérifié, ils ont couru environ 700 $. Et en passant, obtenir un certificat valide pour "192.168.1.1" est impossible car il s’agit d’une adresse IP locale.

Ajouter simplement une exception firefox devrait être une bonne chose, même si… les choses seront toujours cryptées, vous ne serez tout simplement pas à l'abri d'attaques de type "man-in-the-middle".

— Marcusw
source

Vous payez 700 dollars pour les certs? Je suis dans la mauvaise affaire!

— Jldugger

En outre, il ne s'agit pas seulement de fermer Firefox, mais également de mieux résoudre les problèmes sous-jacents. C’est la raison pour laquelle j’ai posé cette question sur serverfault, puisqu’il existe un grand nombre des mêmes problèmes en informatique. Ma faute pour ajouter le mot "maison" je suppose.

— Jldugger

Non, je ne paye pas les certs à ce prix plus vite que vous. En ce qui concerne le problème sous-jacent, HTTPS a été conçu pour le commerce et non pour les connexions HTTP cryptées. C'est le problème ici. Trop de commerce est ce que la plupart des gens utilisent HTTPS, il n’ya donc aucune chance que cela change. Dans mon monde idéal, firefox aurait un bouton "Je me connecte à mon propre serveur afin que STFU" soit facilement accessible, juste à côté du bouton "GET ME OUT OF ICI!" un sur l'écran "VOUS NE PASSERA PAS". Ou peut-être que je délire.

— Marcusw