本地主机/本地网络Https

Posted 2021-04-09

我目前正在贝尔法斯特女王大学攻读应用网络安全硕士学位。我正在做关于简单SSL主题的论文。

在此项目中，我们正在研究如何对具有Web界面的本地网络设备（如IP摄像头）使用SSL加密。当前的浏览器将自签名证书视为安全威胁，并且我们可以确定在此上下文中没有可信的方法来使用SSL。

在我的论文主管John Bustard博士的监督下，我已经实现了解决方案。

我想问一下，我们真的需要在localhost /本地网络上使用https或http是否正常？

答案

我想问一下，我们真的需要在localhost /本地网络上使用https或http是否正常？

localhost（127.x.x.x）上的HTTPS浪费资源，因为您正在加密未通过实际网络的网络流量。

本地网络上的HTTPS在现实世界中非常有价值，因为现实情况是，您不能信任您的本地网络，而不是信任互联网。如果您拥有有价值的数据，则始终有一种拦截流量的方法。

所有公共证书颁发机构都不会为本地网络颁发证书。这通常通过在本地网络上创建CA并将CA的证书作为受信任的根安装在工作站和设备上来实现。

问题在于，像摄像头这样的廉价设备通常不允许最终用户安装受信任的根证书，这意味着他们无法使用新证书在本地网络上实施SSL。

摄像机通常附带制造商的证书，但是它是否受信任（或应该受信任）是一个不同的问题。它可能由制造商自行签名，也可能来自不受信任或未知的CA.

TL / DR：本地网络上的大多数设备都可以使用本地CA颁发的证书。用户不能/不知道如何更新的廉价网络设备是安全问题。