当我尝试登录我的路由器(它在我的物理访问范围内)时,我收到了这个“不安全”的警告。显然我的路由器的管理(管理员)系统没有 HTTPS。
铬还说
您与本网站的连接不是私人的。
我知道当我访问一个 HTTP网站时,我的端点和远程服务器之间传输的数据可能会被路由中的任何节点嗅探,但这次“远程服务器”只是路由器(它也用作无线 AP )。
在以下情况下是否需要担心?假设我被授权管理路由器并且可以无限制地物理访问它。
没有公共证书颁发机构 (CA) 将为任何 IP 地址颁发证书。证书是在域名上颁发的,基本的 DV 证书(就像 Let's Encrypt 发放的证书一样)不会为设置为私有 IP 地址的域颁发,例如 192.168.xx 块。
因此,您永远无法与仅 IP 地址建立 HTTPS 连接,而且我希望在我的网络中看不到与消费级路由器的 HTTPS 连接。如果我注意到这样的连接(老实说,我可能不会注意到这种锁定方式),那么我会非常怀疑有人安装了恶意证书,并且在我的机器或网络中的某处有一个主动窥探代理.
根据路由器的功能,可以设置安全的 HTTPS 连接。如果您可以向路由器添加证书,则可以创建自签名证书。这将在完全有效的 TLS 隧道内有效地加密您的 HTTPS 连接,尽管您的浏览器会大声抱怨证书的有效性无法验证。
有一些方法可以解决浏览器的这些投诉,例如在您的计算机上将自己添加为受信任的 CA,或者获取域的证书并使用您的内部 DNS 或主机文件将域指向私有 IP,如评论中提到。
您还可以获得一个有效的证书,并在您自己的网络中覆盖域的 A 记录以指向您的私有网络块中的设备,例如通过编辑您的主机文件或使用您自己的 DNS 服务器。
至于您要询问的具体情况:
1、你自己的家:假设所有其他设备都是安全的,应该没什么好担心的。您网络上的流氓设备将能够进行数据包嗅探,因此不要使用您登录银行时使用的相同密码登录(无论您使用什么进行身份验证,这都是一个很好的建议)。
2,您正在托管一个公共接入点:假设网络一直在被主动探测。在这种情况下,我可能会花时间正确设置 TLS,即使那样,如果我真的很偏执(即,我的接入点是在 DefCon 设置的),那么每次我访问管理网页时,我都会禁用无线,确保没有通过任何集线器或交换机连接其他任何东西,然后在重新启用无线和更改我的配置之前更改密码。
对于 SOHO 设备(交换机、路由器)来说,它们要么不支持 HTTPS,要么为 HTTPS 提供无法替换的工厂自签名证书,这是很常见的。
只要:
这不是问题。
这里的其他人给出了技术上精确的答案,假设对安全 Web 连接的工作原理有一般了解。但是,如果您具有该级别的知识,您将已经知道该问题的答案。这是一个更简单的答案。
安全网页(即 URL 开头带有“https”和绿色挂锁或类似符号的网页)由数字证书系统保护。仅仅加密一些东西是不够的,因为它不能保证网站的身份;您可能认为您正在与 foobar.com 交谈,但您如何确定呢?答案是带有数字签名的身份证书系统。当您访问其网站时,“foobar.com”会向您发送一个证书,说明它是真正的“foobar.com”,并且该证书由多个“证书颁发机构”之一签署,这些颁发机构通常受到所有人的信任做这项在互联网上验证身份的工作。如果您单击绿色挂锁符号或您的网络浏览器使用的任何内容,您可以看到证书详细信息。
如果身份不匹配,或者证书丢失,或者链接未加密,那么您的网络浏览器将警告您发送密码,因为有人可能正在监听。
您的家庭路由器没有由证书颁发机构签署的自己的证书,但由于链接仅在一个房子内,这无关紧要。我想如果网络浏览器关闭像 192.168.1.1 这样的地址上的不安全站点可能会更好,这样人们就不会收到误报。
案例 1:如果您真的相信您的家人不会尝试任何聪明的事情,并且他们不会接受一个讨厌的人来侦听以此类常见地址登录网站的尝试,那么可能会很好,作为接管路由器用于其他目的的一步。
案例2:有点担心,但这也是一个很好的学习机会。创建一个内部 CA 来生成适用于内部机器的 SSL 证书并不是一项巨大的努力。OpenSSL 允许您在命令行中执行此操作,XCA 等工具通过漂亮的用户界面执行此操作。如果是我的商店/咖啡厅/酒店,我会担心客人和客户将能够访问路由器管理界面——这应该是仅限员工,甚至是单独的管理网络/VLAN。
我使用类似的家用路由器,自签名证书需要 2 分钟来生成和激活,花了一个晚上的时间在我的“House CA”上创建一个可用的证书,我在这个过程中也学到了很多东西。甚至获得了一些固件错误(可惜没有赏金)