Início / coding / Perguntas / 79290534
Accepted
SzalonyKefir98
Asked: 2024-12-18 17:03:45 +0800 CST

Atualização do certificado ESP32 TLS

  • 772

Minha empresa vai usar o ESP32 em seus dispositivos. Tenho que escrever um código que permita baixar atualizações OTA do ESP32 de um servidor HTTPS. O certificado raiz do servidor TLS expira uma vez por ano. Aqui está minha pergunta: Como posso baixar com segurança um novo certificado do servidor se ele expirou? Se o certificado expirar, perco o controle remoto do ESP e não consigo carregar novos arquivos nele. Por exemplo, navegadores da web como Chrome ou Firefox (pelo que entendi) atualizam seu armazenamento CA, e os usuários nem percebem. É possível obter essa funcionalidade no ESP32?

A única ideia que tenho é conectar-me a um segundo site que seja HTTP, não HTTPS, e baixar o novo certificado. Mas devo usar TLS o tempo todo, então essa solução é inaceitável. Sou novo em tecnologia web e precio uma ajuda e dicas!

ssl

1 respostas

  1. Best Answer

    Você tem certeza de que o servidor usa um certificado raiz, não um intermediário? A diferença entre um navegador e um dispositivo embarcado é que você ainda pode atualizar um navegador com um instalador offline simples, não importa o quão desatualizada esteja sua versão atual. Com um dispositivo embarcado, o servidor OTA é a única tábua de salvação - se o dispositivo não puder se comunicar com o servidor, ele não poderá atualizar. Ele se torna um zumbi e só pode ser atualizado via cabo, o que geralmente não é viável.

    Se o OTA do seu dispositivo embarcado depende de PKI com certificado raiz de 1 ano, eu diria que você está em uma situação ruim. Isso requer que cada dispositivo, sem exceção, atualize seu certificado raiz antes que o anterior seja rotacionado, qualquer um que fique para trás é um zumbi. Se você tem certeza de que pode atualizá-los todos antes do prazo, vá em frente e faça isso. Preste atenção aos dispositivos que não têm acesso à Internet por meses (por exemplo, porque estão parados em um depósito).

    Esta é minha lista de soluções em ordem de preferência pessoal:

    1. Crie uma PKI incorporada com certificado raiz válido por 50 anos. Proteja todos os ativos da web com um certificado intermediário (assinado pelo raiz) - eles podem ser rotacionados sempre que quiser. Cada dispositivo tem o certificado raiz de 50 anos e pode validar qualquer certificado intermediário, independentemente da frequência com que eles são rotacionados. Observe que você ainda pode rotacionar o certificado raiz via OTA, se necessário, isso só acontece em circunstâncias mais controladas.
    2. Caso contrário, crie uma PKI paralela com certificado raiz válido por 50 anos. Então use isso para atualizar o certificado OTA usando qualquer método disponível para você (até mesmo enviar via SMS é uma opção, desde que você possa verificar as coisas recebidas usando seu certificado raiz). É estúpido, mas você mantém alguma linha de vida de backup sobre dispositivos que perderam o prazo.
    3. Abandone a segurança e aceite que os dispositivos que perderam o prazo de rotação poderão atualizar seus certificados sem qualquer validação.

    Você pode substituir 50 anos por qualquer número X se:

    • cada dispositivo em sua frota tem garantia de receber atualizações OTA após X anos
    • você está disposto a considerar perdidos permanentemente todos aqueles dispositivos que não estão online há X anos

    Tenho lutado para encontrar um bom material de referência sobre certificados e cadeias X.509 (90% das correspondências do Google são artigos de vendas superficiais). Posso indicar um artigo Illustrated X.509 Certificate e a página da Wikipedia

    • 1

relate perguntas