Certificado SSL autofirmado en múltiples dispositivos: ¿es esto lo suficientemente seguro?

Navega tus respuestas
3

Estamos intentando diseñar una solución en la que tengamos varios dispositivos inteligentes y podamos controlar todos los dispositivos inteligentes desde múltiples teléfonos. Generaremos un certificado de servidor SSL autofirmado y lo incorporaremos en todos los dispositivos inteligentes. E incluiremos el certificado de cliente SSL en todos los teléfonos. Ahora, para conectar un teléfono al dispositivo inteligente, el teléfono necesita obtener una identificación (que se puede obtener al escanear un código QR en el dispositivo inteligente; esto es solo para garantizar que el teléfono esté cerca del dispositivo inteligente) .

Dispositivo inteligente:

  • inserta un certificado de servidor autofirmado. Razón: No hay dependencia en el conectividad a internet
  • Mantiene un punto de acceso WiFi (conectividad a Internet no se garantiza siempre)
  • Mantiene una lista de teléfonos conectados (cada uno teléfono identificado por el ID de código QR único que se escanea por el teléfono)

Aplicación de teléfono:

  • Implementa la fijación de certificados y codifica el certificado del cliente
  • Se conecta al punto de acceso wifi
  • Establece una conexión SSL con el dispositivo inteligente.
  • Para registrarse por primera vez, escanea un código QR y, para las conexiones posteriores, envía el ID de código QR para proporcionar su identidad.

¿Puede revisar la arquitectura anterior e identificar cualquier falla con esto?
Debido a que estamos instalando el mismo certificado de servidor en todos los dispositivos inteligentes y el mismo certificado de cliente en todos los teléfonos, ¿hay alguna manera de hackear el dispositivo inteligente de alguna manera? Si se establece una conexión SSL entre un dispositivo inteligente y un teléfono, ¿puede otro dispositivo (que se encuentre en la misma red con el mismo certificado) poder secuestrar los paquetes enviados entre el dispositivo inteligente y el primer teléfono? Una vez que se establece un enlace seguro, enviamos la ID del Código QR en formato de texto simple a través del socket SSL. ¿Necesitamos cifrar esto otra vez o es el enlace SSL lo suficientemente seguro?

    
pregunta Harish 16.11.2016 - 17:55
fuente

1 respuesta

2

Si tiene control sobre el cliente y el servidor, puede usar certificados autofirmados de forma segura. La mejor manera de hacerlo es crear una CA raíz privada autofirmada y usarla para firmar los certificados de los distintos dispositivos. En el cliente, verifique que el certificado del servidor haya sido firmado por la CA raíz privada. Además, utilice un certificado diferente para cada dispositivo. No querría darle a alguien acceso a todos los dispositivos si hackea uno .

Esta configuración proporcionará seguridad a nivel de transporte, por lo que puede enviar un código QR de forma segura.

    
respondido por el Sjoerd 20.11.2016 - 13:07
fuente

Lea otras preguntas en las etiquetas

¿Se usa Shadow-Stack solo para anti-BufferOverflows? "openssl crl" verificar da "Error al obtener el certificado de emisor CRL"