我正在为后院园丁构建一个基于 Raspberry Pi 的设备,该设备具有用于初始配置(包括 Wi-Fi 配置)的网页和接入点。该连接使用 WPA2,该内部网络上仅有的两个设备是设备本身和用户的手机/平板电脑/笔记本电脑。接入点仅在配置期间可见,这降低了外部攻击者猜测出厂随机密码的可能性。所以我加密了流量,几乎可以肯定只有两个节点,短时间内,以及一个随机密码。因此,我可以看到不需要 HTTPS,并且我计划运行 HTTP。
但是,今天我了解到,从 7 月开始,Chrome 将开始将所有 HTTP 站点标记为不安全。[1] 但是由于 Wi-Fi 配置将由接入点完成,因此还没有可用的互联网访问来验证 TLS 证书,我理解这是正确操作所必需的。 [2] 我可以对证书进行自签名,但这会带来其他问题。 [3]
所以我的选择似乎是:
- 向配置页面显示一条大而可怕的“此网站不安全”消息
- 向配置页面显示一条大而可怕的“此证书不受信任”消息(例如自签名)
默认情况下,您将如何为设备配置页面提供可爱的绿色锁?
[1] https://www.theverge.com/2018/2/8/16991254/chrome-not-secure-marked-http-encryption-ssl
[3] https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/