¿Cómo puedo asegurar correctamente el proceso de configuración de WiFi de un dispositivo IoT?

Mi empresa desarrolla un producto IoT conectado a WiFi. Quiero asegurarme de que el proceso de obtención de las credenciales WiFi del usuario en el dispositivo sea lo más seguro posible. En este momento, el producto se encuentra en una etapa de prototipo, por lo que podemos (y haremos) más cambios antes de que llegue al mercado.

En este momento, el proceso es el siguiente:

1. El dispositivo crea su propio punto de acceso WiFi. Las credenciales para este punto de acceso se imprimen en una etiqueta en el propio dispositivo.
2. El usuario visita una determinada URL (una página web servida por un servidor web incorporado en el producto, utilizando HTTP simple)
3. El usuario ingresa sus credenciales de WiFi en un formulario en esa página
4. El dispositivo guarda esas credenciales y las usa para conectarse al WiFi del usuario

Varios chicos de la empresa piensan que esto es seguro. Un atacante tendría que entrar en el punto de acceso para detectar las credenciales de WiFi del usuario.

No estoy de acuerdo ya que creo que entrar en el WiFi es un obstáculo bastante bajo. El atacante podría haber echado un vistazo a las credenciales en la etiqueta durante una visita, forzado a entrar en el punto de acceso WiFi o explotar una debilidad en la autenticación del punto de acceso WiFi ( No es inaudito ). Sugiero cambiar el proceso para que se vea como sigue:

1. La empresa crea un certificado raíz SSL autofirmado.
2. Utilizamos este certificado raíz para firmar certificados individuales únicos para cada producto vendido. El certificado y la clave privada del producto se incorporan en la memoria flash durante la fabricación.
3. El usuario accede a nuestro sitio web, descarga nuestro certificado raíz y lo instala en su sistema operativo.
4. El dispositivo crea su propio punto de acceso WiFi. Las credenciales para este punto de acceso se imprimen en una etiqueta en el propio dispositivo.
5. El usuario visita una determinada URL (una página web servida por un servidor web incorporado en el producto, utilizando HTTPS y el certificado único del dispositivo. El navegador confía en el certificado porque nuestro certificado raíz está instalado.)
6. El usuario ingresa sus credenciales de WiFi en un formulario en esa página. La información se envía al dispositivo a través del canal cifrado TLS.
7. El dispositivo guarda esas credenciales y las usa para conectarse al WiFi del usuario

Creo que este proceso es muy seguro. Pero impone otros problemas:

• ¿Cómo podemos actualizar el certificado de un dispositivo? Posible, pero muy engorroso y mucho esfuerzo.
• El usuario tiene que instalar manualmente un certificado. Esto no es muy fácil de usar y los usuarios menos expertos en tecnología pueden fallar en hacerlo correctamente, incluso si proporcionamos instrucciones muy detalladas.

Mi (s) pregunta (s):

1. ¿Es el proceso sugerido lo suficientemente seguro para un producto de IoT (imagínelo como algún tipo de medidor de energía inteligente que mide su consumo de electricidad)?
2. ¿Hay alguna manera de mejorar la experiencia de usuario del proceso (por ejemplo, para evitar la necesidad de instalar nuestro certificado)?
3. ¿Hay alguna manera de mejorar el proceso en términos de complejidad de implementación para nosotros (sin comprometer la seguridad del usuario)?
4. ¿Existen formas alternativas de obtener las credenciales de WiFi en nuestro dispositivo? No podemos usar Bluetooth y el dispositivo no tiene pantalla ni teclado.