O que é uma maneira rápida / segura de configurar um certificado https válido para um NAS sem controle de domínio?


-1

Estou operando vários dispositivos NAS na LAN do meu empregador. Faço isso com a benção do empregador, mas não tenho controle sobre o domínio, e os dispositivos estão disponíveis apenas para um pequeno grupo de trabalho na LAN e não são acessíveis de fora da WAN (ou seja, sem uma VPN). Eles têm acesso à Internet, no entanto, para obter atualizações de firmware.

Estou usando https para a interface da web (via porta não padrão), que uso para administração, mas que também é usada pelos usuários para definir suas senhas e em alguns casos de uso, embora a maioria dos usuários use SMB ou SFTP para acessar seus dados. Os dispositivos vêm com um certificado https não confiável e pré-instalado da Synology.

Existe uma maneira geralmente recomendada de lidar com o fato de os navegadores reclamarem dos certificados não confiáveis? As opções, até onde eu sei até agora, são:

Crie uma exceção

Todo usuário precisa criar uma exceção para cada um dos dispositivos em seu navegador, em todos os dispositivos dos quais eles se conectariam. Não tenho certeza de quão seguro isso seria. Isso significa que o navegador sempre aceita qualquer certificado para a máquina especificada ou aceita o mesmo certificado de qualquer máquina ou a exceção se aplica apenas a uma combinação específica de certificado / dispositivo? E quão inteligente é usar o certificado do fabricante pré-instalado?

Gere meu próprio certificado

Geralmente, é recomendado o Let's Encrypt para obter um certificado limpo e válido, mas eles exigem que eu demonstre controle sobre algum domínio, para que isso não funcione, até onde eu sei.

Um certificado autoassinado ficará bem? Seria um exagero fazer o que Mircea Vutcovici sugere aqui e criar minha própria autoridade de certificação etc.?

Em geral, estou confuso sobre o nível de segurança que as diferentes maneiras de proceder me ofereceriam. Os dispositivos NAS contêm dados que não devem estar disponíveis para a maioria das pessoas na LAN, mas nada que não tenhamos permissão para armazenar localmente nos computadores do escritório, portanto, não precisamos de níveis de segurança malucos, mas eu gostaria para ter certeza de que não estou fazendo algo estúpido. A maioria dos usuários tem pouco conhecimento sobre segurança de rede; portanto, conseguir que todos eles instalem um certificado personalizado provavelmente causaria várias perguntas de suporte - mas eu provavelmente aceitaria esse problema, se necessário.


11
Trabalhe com seu empregador (equipe de rede) para que o Let's Encrypt funcione. Se você tiver a bênção deles, eles devem trabalhar com você nisso.
Sven

Voltou-me dizendo que eles não podem emitir certificados. Teria que pedir a algum fornecedor para fazê-lo, por um custo recorrente. Eles também são muito escassez de pessoal para mim para pedir-lhes quaisquer favores em termos de Vamos Criptografar :(
Zak

Respostas:


1

Tenha seu certificado emitido por uma CA já confiável nos dispositivos do usuário. O TLS não se importa se se trata de uma PKI interna ou gerenciada por terceiros.

A criação de sua própria CA move apenas o problema autoassinado; os usuários ainda não confiam na CA por padrão.

É recomendável obter um certificado para um ambiente de teste e usá-lo.

Sucesso é quando não há avisos assustadores para o navegador do usuário. Fadiga alerta é ruim. Os usuários não sabem como gerenciar certificados.


Pergunta potencialmente boba: se eu gerar um certificado para um ambiente de teste, todos os usuários não precisarão instalá-lo no navegador para que sejam confiáveis? Além do certificado gerado por mim, isso não seria equivalente a fazê-los confiar no certificado de sinologia?
Zak
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.