如何使用自签名管理站点证书来改善家用无线路由器的安全性?

如何使用自签名管理站点证书来改善家用无线路由器的安全性?

小黑盒子正在发布可在公开固件上访问的“私钥”。Debian 称这些为“蛇油”证书。大多数路由器都使用这些证书来保护其 HTTPS 证书,而且我认为,我从未见过这些内部管理网站使用非自签名证书。

给定一个 IP 为 192.168.1.1 的网络服务器,如何确保它的安全,使 Firefox 不会发出警告(并且仍然是安全的)?

答案1

答案完全取决于您使用的产品。如果它允许您安装自己的 SSL 证书,请安装浏览器信任的 CA(可能是您自己的 CA)颁发的证书。

如果您无法替换路由器上的自签名证书,那么您基本就完蛋了。

我不确定这里是否存在真正的风险。攻击规模很小……有人在正确的时间嗅探网络可以获取路由器的管理密码,但除非您经常对路由器进行身份验证,否则发生这种情况的可能性似乎很小。

答案2

我认为 Firefox 之所以抱怨是因为该证书是自签名的,事情通常都是这样的。

要做到这一点,要么在 FireFox 中添加例外,要么获取实际有效的证书。我上次检查时发现,它们花费了大约 700 美元。顺便说一句,由于“192.168.1.1”是本地 IP,因此不可能为其获取有效证书。

不过,只需添加一个 Firefox 例外就足够了...内容仍然会被加密,只是无法免受中间人攻击。

相关内容