Está utilizando certificados autofirmados una opción para este escenario de m2m

1

Imagine que tiene un par de cientos de dispositivos integrados en el campo que deben administrarse de forma remota a través de SSH o HTTPS.

Estos dispositivos integrados están expuestos en Internet pero se instalan en ubicaciones seguras. Se colocan en un recinto al que no puede acceder un personal no autorizado.

Las personas que requieren acceso remoto a estos dispositivos son limitadas y son personal de soporte dedicado.

¿Cuál es el riesgo de usar certificados autofirmados en este caso? Proporcionando nosotros

  • comunique claramente a las personas que necesitan acceder a estos sistemas que estos son certificados de servidor autofirmados.

  • instalamos el certificado de CA raíz en los clientes

pregunta ddewaele 31.10.2014 - 22:38
fuente

1 respuesta

2
  

utilizando certificados autofirmados ... instalamos el certificado de CA raíz en los clientes

Sus declaraciones son conflictivas: usted tiene (su propia) CA raíz para firmar todos los certificados, o todos estos certificados solo están firmados por ellos mismos (autofirmados), lo que significa que no hay una CA raíz.

Si todas las máquinas son administradas por la misma parte, entonces puede usar una CA raíz de confianza común para todos los certificados. No solo simplifica todo, sino que en realidad puede ser más seguro si todos los clientes utilizados para administrar las máquinas solo aceptan esta CA única como confiable y si esta CA solo emite certificados para estas máquinas. Tener certificados autofirmados es, en cambio, una pesadilla de mantenimiento, ya que tendría que confiar explícitamente en cada uno de estos certificados en lugar de confiar en una única CA.

Pero, dudo que pueda implementar su propia CA de una manera segura basada en su conocimiento actual. Dado que un compromiso de su propia CA comprometería de inmediato los certificados de todas sus máquinas, le recomendaría encarecidamente que incorpore a un profesional de seguridad reconocido (en lugar de un autoproclamado) para que lo ayude con este problema.

Aparte de eso, podría ser una buena idea hacer estas preguntas en security.stackexchange.com.

    
respondido por el Steffen Ullrich 01.11.2014 - 04:36
fuente

Lea otras preguntas en las etiquetas