Como configurar o HTTPS para implantações sem um nome de host

5

Atualmente, sou responsável pelo hardware baseado em linux em rede que expõe as conexões HTTP. Eu quero ser capaz de se conectar a eles através de HTTPS, mas a implantação de hardware tem 1000 de instalações. Eu li sobre problemas com certificados auto-assinados e não tenho certeza de como procedeu. Além disso, alguns deles podem ou não estar em LANs privadas, portanto, não posso garantir que haja conexão com a Internet, mas gostaria de criptografar o tráfego, pois ele pode estar exposto à Internet, dependendo do tipo de implantação.

Pensei em possivelmente encaminhar o tráfego HTTP por um soquete SSL com uma chave compartilhada e fazer proxy de todo esse tráfego para uma conexão de proxy principal, mas não tenho certeza se esse é realmente o caminho a seguir.

Obrigado

    
por Bradford Medeiros 30.03.2018 / 22:13
fonte

1 resposta

4

Certificados curinga vêm à mente, supondo que seus mil sites diferentes correspondam aos subdomínios de um único domínio. Isso funcionará tanto para sites públicos quanto para sites que estão disponíveis somente através da LAN.

Se esse não for o caso, ou seja, se você estiver realmente usando milhares de domínios diferentes, poderá pensar em automatizar a geração dos certificados. Se você estiver usando (ou disposto a usar) Vamos criptografar, o procedimento é automatizado de qualquer forma, portanto, o número de domínios não fará diferença em termos do tempo gasto. Certifique-se, no entanto, de verificar as cotas; tentar registrar mil domínios de uma só vez provavelmente excederá os limites permitidos.

O Let's Encrypt não permite que você crie um certificado para um site que não seja acessível pela Internet (ou pelo menos que não esteja acessível em Let's Encrypt servers). Para esses sites, eu iria com certificados auto-assinados. A razão pela qual você não pode usar certificados autoassinados para sites públicos é que eles não serão reconhecidos pelos navegadores - para acessar esse site, o visitante terá que aceitar um certificado auto-assinado, que é uma prática que deve ser desencorajado a todo custo entre usuários não técnicos. Como você está lidando com a LAN, provavelmente é possível implantar a CA autoassinada nas máquinas clientes, o que significa que não haverá avisos aqui.

Obviamente, lidar com certificados auto-assinados (e proteger apropriadamente chaves privadas) requer experiência; mas também os certificados que usam Vamos criptografar.

I've had thoughts about possibly forwarding http traffic over a ssl socket with a shared key, and proxying all of this traffic to a main proxy connection, but I'm unsure if this is actually the way to go.

Suponho que você esteja falando sobre um proxy reverso que terá que descriptografar o tráfego TLS. Esta é realmente uma abordagem que é muito usada, no entanto, assume que você precisa criptografar o tráfego entre o proxy reverso e o usuário final, mas o tráfego entre o proxy reverso e o backend é completamente seguro. Isso nem sempre é o caso (o que faz você pensar que ninguém encontrou um caminho para um dos milhares de seus servidores?) E setores específicos (como bancos) podem ter leis ou políticas específicas que tornam obrigatório criptografar o tráfego mesmo dentro da LAN .

    
por 31.03.2018 / 00:24
fonte