我目前正在贝尔法斯特女王大学攻读应用网络安全硕士学位。我正在做关于简单SSL的论文。
在此项目中,我们正在研究如何对具有Web界面的本地网络设备(例如IP摄像机)使用SSL加密。当前的浏览器将自签名证书视为一种安全威胁,据我们所知,在这种情况下没有可信赖的SSL使用方法。
在我的论文指导老师John Bustard博士的指导下,我实现了解决方案。
我想问一下,我们真的需要在本地主机/本地网络上使用https还是http可以吗?
答案 0 :(得分:0)
我想问一下,我们真的需要在本地主机/本地网络上使用https还是http可以?
本地主机(127.x.x.x)上的HTTPS浪费资源,因为您正在加密未通过实际网络的网络流量。
在现实世界中,本地网络上的HTTPS相当有价值,因为现实是您对本地网络的信任远不如对互联网的信任。如果您有宝贵的数据,总有一种方法可以拦截流量。
任何公共证书颁发机构都不会为本地网络颁发证书。通常,这是通过在本地网络上创建CA并将CA的证书安装为工作站和设备上的受信任根来实现的。
问题在于,某些廉价设备(例如相机)通常不允许最终用户安装受信任的根证书,这意味着它们无法使用新证书在本地网络上实现SSL。
照相机通常附带制造商的证书,但是是否值得信任(或应该信任)则是另一个问题。它可以由制造商自行签名,也可以由不受信任或未知的CA签名
TL / DR:本地网络上的大多数设备都可以使用由本地CA颁发的证书。用户无法/不知道如何更新的廉价网络设备是一个安全问题。