La otra respuesta no es completamente correcta, por lo tanto, intentaré arreglar eso.
Hay dos tipos diferentes de interfaces web para enrutadores:
La interfaz web interna y la externa.
Mientras que el externo debe estar deshabilitado por muchas razones, el interno no necesita https para ser implementado: al acceder al enrutador desde su LAN (supongamos que CRACK puede ser reparado algún día y se considera WiFi) seguro otra vez), un MITM solo puede operar localmente, lo cual no es una gran amenaza en la mayoría de los casos de consumidores.
Sin embargo, en general, sería conveniente tener https en los enrutadores COTS. Esto plantea problemas significativos. Si bien la IP en sí no sería un gran problema, ya que la IP real solo se verifica cuando se accede directamente a través de IP (ya que se considera que la IP es el dominio), existe otro problema: la mayoría de los enrutadores SOHO no tienen zona DNS para los dispositivos o se pueden configurar.
Incluso si todos los enrutadores de un modelo se configuraran con un nombre de dominio local no modificable como "routerxy.local", .local es un dominio para el que ninguna CA nunca crearía un certificado. Este es el punto que faltan las otras respuestas. No es el almacenamiento del certificado y la clave lo que es el factor decisivo (también es uno de ellos, pero podría mitigarse con un HSM), es el dominio local y cómo funcionan las CA.
También habría una manera de mitigar este problema:
Maker x puede crear routery.x.tld y obtener un certificado para eso, y distribuirlo en el HSM de cada caja que envíe. Si esto se filtra (por una vulnerabilidad en el HSM, por ejemplo, ahora están en manos del posible atacante), estás nuevamente en un gran problema.
Además, la mayoría de las CA pueden revocar el certificado cuando ven un abuso como ese (ya que la entidad para la que está el certificado no es la que lo usa)
En general: hay dificultades técnicas que dificultan la facilidad de uso (no queremos advertencias de certificados en nuestro enrutador COTS) y hay pocos beneficios de usar TLS en una conexión que simplemente está dentro de la LAN.