¿Cada dispositivo del mismo modelo tiene certificados SSL diferentes para ellos?

Como regla general, cada uno debe ser único.

La clave privada asociada con un certificado debe ser secreta. Si ese secreto sale, entonces no ofrecen ninguna protección. Puede asumir que cualquier persona que posea un dispositivo puede extraer la clave de ese dispositivo, por lo que desea que cada clave sea única.

Los certificados no tienen que estar firmados para ofrecer protección. Ayuda, pero el cifrado todavía funciona sin la firma. Si tiene que decidir entre un certificado sin firmar y una clave comprometida, creo que la situación es peor con una clave comprometida.

En cuanto a la comunicación con un servidor remoto, solo necesita un certificado para ejecutar el servidor, no para conectarse a él.

Se utiliza un certificado para asegurarse de que se conecta al dispositivo correcto, es decir, que ningún intermediario está interceptando la conexión. Si utiliza el mismo certificado en muchos dispositivos que se envían a muchos clientes diferentes, el objetivo de la verificación adecuada es que no se pueda acceder a su propio dispositivo. Además, cada uno de estos dispositivos probablemente contendría la misma clave privada, por lo tanto, extraer la clave privada de uno de estos dispositivos haría que un atacante interceptara la comunicación de todos los demás y, dependiendo de los cifrados utilizados, también lo haría posible. para descifrar también el tráfico cifrado previamente interceptado.

Por lo tanto, la forma habitual es crear un certificado único para cada dispositivo, con una clave pública y privada única. Aún mejor es permitir que el usuario reemplace el certificado por el suyo, porque de esta manera se puede integrar mejor en su propia infraestructura.