Как бы вы изменили домашний беспроводной маршрутизатор с помощью самозаверяющего сертификата сайта администратора, чтобы повысить его безопасность?

Question

littleblackbox публикует "закрытые ключи", доступные в общедоступных прошивках. Debian называет эти "змеиные" сертификаты. Большинство из этих маршрутизаторов защищают свои HTTPS-сертификаты с помощью них, и, как мне кажется, я никогда не видел ни одного из этих внутренних веб-сайтов администратора с сертификатами, которые не были бы подписаны самостоятельно.

Учитывая веб-сервер на IP 192.168.1.1, как вы защищаете его до такой степени, что Firefox не предлагает предупреждений (и все еще защищен)?

Answer 1

Ответ полностью зависит от продукта, который вы используете. Если он позволяет вам установить свой собственный сертификат SSL, установите его из ЦС, которому доверяет ваш браузер (возможно, ваш собственный ЦС).

Если вы не можете заменить самоподписанный сертификат на маршрутизаторе, вы в основном SOL.

Я не уверен, что здесь есть большой риск. Профиль атаки довольно мал ... кто-то, кто нюхает сеть в нужное время, может получить административный пароль вашего роутера, но шансы на это кажутся довольно малыми, если вы не часто проходите аутентификацию на вашем роутере.

Answer 2

Я предполагаю, что firefox жалуется, потому что сертификат самоподписан, как обычно.

Способ сделать это - добавить исключение в FireFox или получить действительный сертификат. В последний раз я проверял, они побежали около 700 долларов. И, между прочим, приобретение действительного сертификата для «192.168.1.1» невозможно, поскольку он является локальным IP-адресом.

Простое добавление исключения Firefox должно быть хорошо, хотя ... все будет по-прежнему зашифровано, вы просто не будете защищены от атак "человек посередине".