本地主机/本地网络Https

Question

我目前正在攻读贝尔法斯特女王大学应用网络安全方面的MSc课程。我正在做关于简单SSL的论文。

在本项目中，我们将研究如何对具有web接口的本地网络设备(如IP摄像机)使用SSL加密。当前的浏览器将自签名证书视为一种安全威胁，而且据我们所能识别，在此上下文中没有使用SSL的可信方法。

在我的论文导师约翰·布斯塔德博士的监督下，我已经找到了解决办法。

我想问的是，我们真的需要本地主机/本地网络上的https吗?还是http是可以的？

Answer 1

我想问的是，我们真的需要本地主机/本地网络上的https吗?还是http是可以的？

本地主机上的HTTPS (127.x.x.x)是资源的浪费，因为您加密的是不通过实际网络传输的网络流量。

本地网络上的HTTPS在现实世界中是非常有价值的，因为现实是，您不能比信任internet更信任您的本地网络。如果你有有价值的数据，总有办法拦截流量。

任何公共证书颁发机构都不会为本地网络颁发证书。这通常通过在本地网络上创建CA并在工作站和设备上将CA的证书作为受信任的根来实现。

问题是，有些便宜的设备，如照相机，通常不允许最终用户安装受信任的根证书，这意味着它们不能使用新的证书在本地网络上实现SSL。

相机通常带有制造商的证书，但是它是否可信(或是否应该被信任)则是另一个问题。它可以由制造商自签名，也可以来自不受信任的或未知的CA。

TL/DR:本地网络上的大多数设备都可以使用本地CA颁发的证书。用户不能/不知道如何更新的廉价网络设备是一个安全问题。