Я использую несколько устройств NAS в локальной сети моего работодателя. Я делаю это с благословения работодателя, но у меня нет контроля над доменом, а устройства доступны только небольшой рабочей группе в локальной сети и недоступны извне WAN (то есть без VPN). Однако у них есть доступ к Интернету для получения обновлений прошивки.
Я использую https для веб-интерфейса (через нестандартный порт), который я использую для администрирования, но который также используется пользователями для установки своих паролей и для некоторых случаев использования, хотя большинство пользователей используют SMB или SFTP для доступа к своим данным. Устройства поставляются с предустановленным ненадежным сертификатом https от Synology.
Есть ли обычно рекомендуемый способ справиться с жалобой браузеров на ненадежные сертификаты? Насколько мне известно, есть следующие варианты:
Создать исключение
Каждому пользователю необходимо создать исключение для каждого из устройств в своем браузере, на каждом устройстве, с которого они будут подключаться. их.
Есть ли обычно рекомендуемый способ справиться с жалобами браузеров на ненадежные сертификаты? Насколько мне известно, есть следующие варианты:
Создать исключение
Каждому пользователю необходимо создать исключение для каждого из устройств в своем браузере, на каждом устройстве, с которого они будут подключаться. их.
Есть ли обычно рекомендуемый способ справиться с жалобами браузеров на ненадежные сертификаты? Насколько мне известно, есть следующие варианты:
Создать исключение
Каждому пользователю необходимо создать исключение для каждого из устройств в своем браузере, на каждом устройстве, с которого они будут подключаться. их. Я не совсем уверен, насколько это будет безопасно. Означает ли это, что браузер всегда будет принимать любой сертификат для данного компьютера или один и тот же сертификат с любого компьютера, или же исключение будет применяться только для конкретной комбинации сертификат / устройство? И насколько разумно использовать предустановленный сертификат производителя?
Сгенерировать мой собственный сертификат
Let's Encrypt обычно рекомендуется для получения чистого действительного сертификата, но они требуют, чтобы я продемонстрировал контроль над некоторым доменом, так что это не работает чтобы работать, насколько я могу судить.
Подойдет ли самоподписанный сертификат? Будет ли излишним сделать то, что предлагает Мирча Вуткович здесь , и создать свой собственный центр сертификации и т. Д.?
Я обычно не понимаю, какой уровень безопасности предлагают мне разные способы работы. Устройства NAS содержат данные, которые не должны быть доступны большинству людей в локальной сети, но ничего, что нам не разрешили бы хранить локально на наших офисных компьютерах, поэтому нам не нужны сумасшедшие уровни безопасности, но я бы хотел чтобы убедиться, что я не делаю глупостей. Большинство пользователей мало осведомлены о сетевой безопасности, поэтому, если заставить их всех установить собственный сертификат, скорее всего, возникнет куча вопросов в службу поддержки, но я, вероятно, прикусил бы эту пулю, если бы это было необходимо.
Ваш сертификат, выпущенный центром сертификации, уже доверен на устройствах пользователя.TLS не волнует, является ли это внутренним PKI или управляемым третьей стороной.
Создание собственного центра сертификации решает только проблему с самоподписью, пользователи по-прежнему не доверяют вашему центру сертификации по умолчанию.
Порекомендуйте получить сертификат для тестовой среды и использовать его.
Успех - это когда в браузере пользователя нет страшных предупреждений. Предупредить усталость - это плохо. Пользователи не знают, как управлять сертификатами.