12
Tengo un sistema integrado que espero que esté en uso durante los próximos 15 años, y tiene una consola de administración basada en https. Por lo que entiendo:Certificados para sistemas integrados habilitados para SSL
- Si tengo un certificado autofirmado, los navegadores web se quejarán.
- Si tengo un certificado firmado por CA, caducará bastante pronto durante la vida útil del producto, y los navegadores web se quejarán.
¿Hay alguna forma de tener un certificado de larga duración para que los navegadores no se quejen, o es necesario lanzar un nuevo firmware cada vez que el certificado caduque durante la vida útil del producto? ¿O proporcionar una forma para que los usuarios carguen un nuevo certificado?
Estoy exactamente en la misma situación en este momento; es decir, desarrollar un sistema embebido producido en masa que tenga un servidor web habilitado para SSL para fines de administración remota por parte de un pequeño grupo de usuarios finales solamente. Actualmente estoy investigando si (y cómo) los certificados firmados por CA podrían implementarse (lo cual es en sí difícil ya que la CA necesita conocer el dominio del dispositivo por adelantado), o para utilizarlos con firma automática. ¿Qué solución usaste al final? ¿Seguiste las sugerencias de Paul McMillan sobre un mecanismo de actualización y el uso de un certificado autofirmado uniqe para cada dispositivo? – Trevor
@Trevor: Envié un certificado autofirmado y proporcioné una forma para que el usuario cargue su propia clave privada + certificado. Siendo realistas, dudo que ningún cliente haya subido su certificado, pero al menos me hizo sentir mejor. – indiv
Gracias por responder tan pronto. ¿Te importa si también pregunto qué tipo de mecanismo y formato elegiste para subir la clave y el certificado? ¿Es por ejemplo a través de una herramienta de actualización de PC/USB, y es la clave y el certificado en sí mismo transferidos básicamente como un pedazo de binario (por ejemplo, formato PEM) que acaba de grabarse en flash? – Trevor