如果我理解正确，该设备将仅与单个或几个特定服务器通信。在这种情况下，您不应依赖公共 CA 系统，而应使用自己的 CA 系统：

• 如果您只有一个服务器，您可以使用自签名证书并在所有设备中硬编码预期的证书（证书固定）。
• 如果您有多个服务器，您可以使用多个自签名证书并将它们全部存放在每个设备中。或者，您可以创建自己的 CA 并将其作为唯一受信任的 CA 存储在设备上。然后接受该 CA 签署的任何内容，但不要接受其他任何内容。

在这两种情况下，您都可以自己控制证书的到期时间，因此您可以使它们变得非常长或跳过设备上的到期验证。当然，您需要严格保护生成证书和 CA 的私钥，但如果您使用公共 CA 系统，这也是一样的。

除非您能够升级设备上的固件，否则您应该使用加密算法，该算法对于设备的预期使用寿命可能足够强大。如果您能够更新固件，请确保升级过程是安全的（例如签名升级），否则攻击者可能只是添加自己的固件并通过在使用 SSL 加密之前获取设备上的数据来绕过您的 SSL 保护。