Quiero asegurar la conexión entre mi arduino yun y mi servidor apache. En este momento estoy usando una solicitud de obtención simple para enviar información al servidor. Pensé en mejorar la seguridad utilizando un certificado autofirmado en apache y utilizando curl -k para enviar información.
Quería preguntarte, ¿crees que hay fallas en este procedimiento? ¿La conexión es segura o un atacante puede interceptar el tráfico y enviar datos al servidor?
Como implica el nombre largo de -k ( --insecure ), no es una buena idea.
El problema con la desactivación de la validación del certificado es que permite ataques MITM fáciles, por ejemplo. otra máquina puede interceptar la comunicación y leer / modificar las solicitudes como si fuera http simple con poca sobrecarga simplemente autofirmándose para ser el host esperado.
En cambio,: mientras coloque el certificado y un posible atacante no pueda manipular su almacén de confianza, su la configuración debería estar bien si no evita que curl verifique el certificado.