嵌入式设备通常需要传输数据的安全性。想想你的wifi路由器。当您连接到路由器进行管理时,您希望使用SSL来保护您的密码。但设备制造商不能指望用户安装证书(太麻烦)。
所以我们遇到了一个问题,如何在嵌入式设备中使用SSL,但没有在每个设备中安装唯一证书的麻烦。自签名证书可以工作,但浏览器警告会吓到普通用户。
SSL提供两件事: 1.验证服务器的身份 2.加密通信
对于嵌入式设备,我们可以不用第一个,但我们经常真的想要第二个。所以我们想要的是在没有证书的情况下使用SSL,或者在没有警告的情况下使用自签名证书。浏览器中的自签名证书警告会吓到普通用户。那该怎么办?
似乎嵌入式设备没有很好的解决方案来使用SSL?
想法?
答案 0 :(得分:3)
SSL提供两件事:1。验证服务器的身份2.加密通信
对于嵌入式设备,我们可以不用第一个,但我们经常真的想要第二个。所以我们想要的是在没有证书的情况下使用SSL,或者在没有警告的情况下使用自签名证书。浏览器中的自签名证书警告会吓到普通用户。
您的问题表明您并不真正了解身份识别在SSL中的作用。
没有识别对等方的加密允许攻击者发起中间人攻击。在此攻击中,客户端将与攻击者建立加密连接,并且攻击者具有与服务器的另一个加密连接。攻击者将从客户端获取加密数据,对其进行解密并将其再次加密转发到服务器。对于从服务器到客户端的数据也是如此。这样攻击者就可以监听甚至修改数据。服务器和客户端都不能检测到攻击,因为缺少对等体的识别。
如果客户希望与设备建立可信连接,则需要先建立信任。使用自签名证书,这将通过在浏览器中接受一次证书来完成(但只有在肯定没有中间人的情况下)。从那时起,将检测到任何中间人攻击,因为证书已经更改。