Estou construindo um dispositivo baseado em Raspberry Pi para jardineiros de quintal com uma página da web e um ponto de acesso para a configuração inicial, incluindo a configuração de Wi-Fi. A conexão usa WPA2 e os únicos dois dispositivos nessa rede interna seriam o próprio dispositivo e o telefone / tablet / laptop do usuário. O ponto de acesso é visível apenas durante a configuração, o que reduz a probabilidade de invasores externos serem capazes de adivinhar a senha aleatória enviada de fábrica. Portanto, tenho tráfego criptografado, quase certamente apenas dois nós, por um curto período de tempo e uma senha aleatória. Portanto, não há necessidade de HTTPS que eu possa ver e planejei executar o HTTP.
No entanto, hoje soube que a partir de julho o Chrome começará a marcar todos os sites HTTP como inseguros. [1] Porém, como a configuração do Wi-Fi será feita por ponto de acesso, ainda não há acesso à Internet para verificar os certificados TLS, que eu entendo serem necessários para a operação adequada. [2] Eu poderia autoassinar o certificado, mas isso apresenta outros problemas. [3]
Então, minhas opções parecem ser:
- Apresente a página de configuração com uma mensagem grande e assustadora: "Este site não é seguro"
- Apresente a página de configuração com uma mensagem grande e assustadora: "Este certificado não é confiável" (por exemplo, autoassinado)
Como você forneceria esse lindo cadeado verde por padrão para uma página de configuração do dispositivo?
[1] https://www.theverge.com/2018/2/8/16991254/chrome-not-secure-marked-http-encryption-ssl
[3] https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/