Me gustaría implementar la fijación de SSL en ESP8266. Dado que el certificado de hoja cambia con bastante frecuencia, me gustaría comprobar qué hoja de dominio se emitió y verificar que la raíz pertenezca a Let´s Encrypt.
¿A qué propiedad debo anclar en la raíz? Me gustaría evitar la situación cuando el certificado caduque y necesitaría volver a flashear mi dispositivo.
Parece que desea aceptar cualquier certificado emitido por Let's Encrypt para su dominio específico. Esto se hace de forma implícita sin ningún pin si su única CA raíz en el dispositivo es Let's Encrypt (siempre que haga la validación de certificado adecuada). Si tiene varias CA raíz en el sistema, puede fijar la clave pública específica de la CA raíz que desea usar.
Otra opción sería no preocuparse por la CA en absoluto, sino hacer ping contra la clave pública del certificado de hoja. Por lo general, esta clave pública permanece igual si uno solo está renovando un certificado, es decir, uno enviará una CSR con la misma clave pública que en el certificado anterior. En caso de que la clave privada se haya comprometido, es posible que también tenga otras claves de repuesto que podría usar para crear un nuevo certificado y tener estas configuraciones para fijarlas en el dispositivo también.
No estoy seguro de cuáles son las capacidades actuales de la plataforma ESP8266 con respecto a la validación de certificados. Pero por lo que recuerdo, hubo un momento en el que todo lo que podía hacer era verificar un certificado de hoja específico. En este caso, la segunda opción de anclar contra la clave pública del certificado de hoja y reutilizar la misma clave con las actualizaciones de certificados debería ser más fácil de implementar.
Lea otras preguntas en las etiquetas certificate-pinning letsencrypt iot