Certificat de confiance sur équipements industriels

Le
Jack.R
Bonjour,

J'utilise des contrôleurs d'équipements industriels qui ont une b=
ase
Debian Stretch customisée par le fabriquant de la carte CPU.
Ces équipements embarquent un certain nombre de services (serveur
web, serveur ssh, serveur FTP, )
Certaines connexions sont chiffrées en SSL avec un certificat
auto-signé.
Les versions actuelles de navigateurs (firefox, chrome, )
déclenchent systématiquement un avertissement, il faut mettre une
exception et, si c'est faisable, la rendre permanente.

Imaginez que vous êtes l'opérateur qui tous les matins démar=
re sa
machine avec une belle interface web et qui doit créer/accepter
l'exception pour un certificat auto-signé dont il n'a pas la moindre
idée de ce que c'est.

Je cherche un moyen de mettre un certificat (ou une chaîne) valide et
reconnu par les navigateurs comme de confiance.

Une solution style let's encrypt (certbot) ne me semble pas valide car:
- les équipements n'ont pas de connexion avec internet (impossible de
renouveler le certificat),
- l'ip et le nom de machine sont définis par l'utilisateur final et en
fonction du secteur d'installation il peut même y avoir du DHCP,
- les équipements ne sont pas forcément reliés au résea=
u usine (pas de
possibilité d'utiliser un serveur interne avec une chaîne de
certificats),
- dans la même machine, je peux avoir plusieurs de ces équipements
(impossible d'avoir un nom de machine/domaine -fqdn- identique)

mkcert comme utilisé ici:
https://lehollandaisvolant.net/?d=2019/01/07/22/57/47-localhost-et-https
ne cadre pas car le navigateur n'est pas nécessairement celui embarqu=
é
par l'équipement, on peut effectuer un accès distant pour un =
cran
déporté affichant par exemple le status de l'équipement.

Si certains ont des pistes de recherches, je suis preneur car mes
recherches avec "trusted certificat industrial equipment" et un
apt-cache search certificate ne me retourne pas de résultat qui me
semblent intéressants.

Rassurez-moi, les éditeurs de navigateur ont bien pensé à ce=
cas de
figure lorsqu'ils on décidé "d'imposer" HTTPS et TLS?
Je me pose la question lorsque je lis la portion "For native apps
talking to web apps" de:
https://letsencrypt.org/docs/certificates-for-localhost/

--
Jack.R
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Publicité
Poster une réponse
Anonyme