Estou considerando um dispositivo IoT conectado à minha rede local (configurações padrão, sem VPN, sem NAT, sem DMZ) com ou sem acesso à Internet. Meu dispositivo será executado como um servidor HTTP, oferecendo um mecanismo RPC com autenticação e autorização. Ele se anuncia com o mDNS e eu converso com ele usando meu aplicativo móvel ou meu RaspberryPi.
Parece que a norma no desenvolvimento da IoT é ter SSL mútuo (bidirecional). Isso significa que o SSL unidirecional não pode proteger meu tráfego? Por quê?
Notas:
- Entendo as diferenças técnicas entre o SSL unidirecional e bidirecional, não entendo por que o One-way (quase) nunca é considerado na produção da IoT.
- Entendo que é difícil ter SSL mútuo para um dispositivo local: você precisa compartilhar a chave pública do servidor e o certificado para o cliente e vice-versa. O one-way, por outro lado, parece mais fácil (não requer ação do usuário).
- Alguns dispositivos produzidos em massa, como a Philips Hue, preferem ter um endpoint http local aberto e não seguro do que uma criptografia SSL unidirecional. Por que alguém faria essa escolha?
- Espero que essa pergunta não seja baseada em opiniões. Desculpas se este for o caso.