Làm cách nào để sử dụng HTTPS trên cấu hình thiết bị dựa trên web đang chạy điểm truy cập và không có quyền truy cập internet?

Tôi đang xây dựng một thiết bị dựa trên Raspberry Pi cho những người làm vườn ở sân sau có trang web và điểm truy cập cho cấu hình ban đầu, bao gồm cả cấu hình Wi-Fi. Kết nối sử dụng WPA2 và hai thiết bị duy nhất trên mạng nội bộ đó sẽ là chính thiết bị và điện thoại / máy tính bảng / máy tính xách tay của người dùng. Điểm truy cập chỉ hiển thị trong khi định cấu hình, giúp giảm khả năng kẻ tấn công bên ngoài có thể đoán mật khẩu do nhà máy vận chuyển ngẫu nhiên. Vì vậy, tôi có lưu lượng được mã hóa, gần như chắc chắn chỉ có hai nút, trong một thời gian ngắn và mật khẩu ngẫu nhiên. Do đó, tôi không thể thấy HTTPS mà tôi có thể thấy và tôi đã lên kế hoạch chạy HTTP.

Tuy nhiên, hôm nay tôi đã biết rằng bắt đầu vào tháng 7, Chrome sẽ bắt đầu đánh dấu tất cả các trang web HTTP là không an toàn. [1] Nhưng vì cấu hình Wi-Fi sẽ được thực hiện bởi điểm truy cập, nên chưa có truy cập internet để xác minh chứng chỉ TLS, mà tôi hiểu là cần thiết cho hoạt động đúng. [2] Tôi có thể tự ký chứng nhận, nhưng điều đó thể hiện những vấn đề khác. [3]

Vì vậy, các lựa chọn của tôi dường như là:

• Trình bày trang cấu hình với thông báo "Trang web này không an toàn", đáng sợ
• Trình bày trang cấu hình với thông báo lớn, đáng sợ, "Chứng chỉ này không đáng tin cậy" (ví dụ: tự ký)

Làm thế nào bạn sẽ cung cấp khóa màu xanh đáng yêu đó theo mặc định cho một trang cấu hình thiết bị?

[1] https://www.theverge.com/2018/2/8/16991254/chrom-not-secure-marked-http-encoding-ssl

[2] /security/56389/ssl-certert-framework-101-how-does-

[3] https://www.globalsign.com/en/ssl-inif-center/dangers-elf-sign-certert/

Một tùy chọn có thể là sử dụng HTTPS và gửi chứng chỉ thực trên thiết bị:

Vì bạn kiểm soát điểm truy cập, có lẽ bạn sẽ điều khiển máy chủ DHCP trên điểm truy cập, do đó bạn có thể yêu cầu nó cung cấp địa chỉ máy chủ DNS cùng một lúc.

Máy chủ DNS này có thể nằm trên AP và có thể phân giải tên máy chủ đủ điều kiện để tự trỏ đến nó.

Sau đó, bạn có thể mua chứng chỉ cho tên miền đủ điều kiện đó và gói sản phẩm này với sản phẩm để tạo kết nối HTTPS được xác minh đầy đủ.

Một vấn đề lớn với ý tưởng này là bạn đang vận chuyển khóa riêng và chứng nhận cho tên miền đó, vì vậy bạn nên cho rằng nó sẽ bị xâm phạm tại một số điểm vì vậy bạn không bao giờ nên đặt máy thật (Bạn có thể cần chạy máy với điều này tên trong một thời gian rất ngắn để thực sự có được chứng chỉ) trên internet sử dụng tên máy chủ đó làm kẻ tấn công sẽ có thể dễ dàng giả mạo nó.

Ngoài ra phần sụn cho AP sẽ có tuổi thọ giới hạn vì chứng chỉ sẽ hết hạn (có thể sau một năm theo iirc mặc định), sau đó bạn sẽ nhận được các cảnh báo hết hạn chứng chỉ khó chịu.

Ý tưởng tiếp theo:

Bỏ chế độ Điểm truy cập WiFi và sử dụng Bluetooth, vd

https://www.hardill.me.uk/wordpress/2016/09/13/provisioning-wifi-iot-devices/

Nhược điểm là Apple hiện không hỗ trợ WebBluetooth, nhưng Chrome trên Windows / Linux / Mac thì có và bạn có thể gửi một ứng dụng iOS gốc cho người dùng điện thoại / máy tính bảng Apple.