SSL/TLS w rozwiązaniu produkcyjnym IoT (ESP-IDF)

[Gieneq]

Zapytam, może ma ktoś doświadczenie jak powinno się obsługiwać certyfikaty w rozwiązaniu produkcyjnym?

Robię projekt w Azurze, o którym kiedyś wspominałem i znalazłem informację, że zdarzyło się, że certyfikaty utraciły ważność bo Root CA stracił uznanie. Stąd moje wątpliwości.

Na ten moment, certyfikat serwera do którego się łączę biorę poleceniem OpenSSL i wyciągam plik PEM wymagany w funkcjach ESP_IDF. Czy jest sens próbować robić to w runtimie gdy pojawi się problem z autoryzacją?

Tak się też zastanawiam jaki jest sens tych certyfikaów. W analogicznym kodzie w Pythonie nie ma tego albo jest to jakoś zautomatyzowane. Skoro jest to publicznie dostępne to nie da się jakoś tego uprościć?

 

[ethanak]

14 minut temu, Gieneq napisał:

W analogicznym kodzie w Pythonie nie ma tego

Ale w tym mikrym wężyku na mikre kontrolery czy w normalnym Pythonie na normalnej maszynie (czyli od RPi Zero W w górę)?

Normalny moduł Pythona nie wie nic o certyfikatach (chyba że mu podsuniesz jakiś swój) bo korzysta z systemowych bibliotek ssl. Raczej nie widzę sensu wrzucania wszystkich CA na świecie do ESP...

 

[Gieneq]

@ethanak hej, no właśnie. Python na komputerze ma swoją bazę certyfikatów. Porównuję to z Pythonem bo przychodzą do mnie marudy i marudzą, że oni w Pythonie nie podają certyfikatów i działa.

Mam taki pomysł, żeby odpalić na własnym serwerze skrypt do monitorowania certyfikatu Azura. Gdy się zmieni wystawiać go na w endpoint z dostępem HTTP ale z np z loginem/hasłem, które będą zaszyte w urządzeniu. Wtedy urządzenie jak wykryje problem będzie próbowało ściągnać nowy plik PEM z tego endpointa. Co o tym myślisz?

[ethanak]

5 minut temu, Gieneq napisał:

Gdy się zmieni wystawiać go na w endpoint z dostępem HTTP ale z np z loginem/hasłem

A dlaczego nie z własnym certyfikatem?

 

[Polecacz 101]

Produkcja i montaż PCB - wybierz sprawdzone PCBWay!
   • Darmowe płytki dla studentów i projektów non-profit
   • Tylko 5$ za 10 prototypów PCB w 24 godziny
   • Usługa projektowania PCB na zlecenie
   • Montaż PCB od 30$ + bezpłatna dostawa i szablony
   • Darmowe narzędzie do podglądu plików Gerber
Zobacz również » Film z fabryki PCBWay

[Gieneq]

@ethanak czemu nie. Da się ustawić żeby był bezterminowy? 

[ethanak]

A nigdy nie sprawdzałem, ale pewnie tak, albo na 20 lat. W każdym razie to lepsze niż jakieś hasła.

[H1M4W4R1]

7 minut temu, Gieneq napisał:

Da się ustawić żeby był bezterminowy? 

AFAIK Nie da się, ale da się ustawić na pier[cenzura] lat w przyszłość 😉 

Edytowano Maj 21, 2024 przez H1M4W4R1

[Gieneq]

20 lat da radę.

@H1M4W4R1 a to w ogóle da radę 😅

A tak ciągnąć temat. Skąd komputer ma bazę certyfikatów, skoro się coś zmieni i dalej może się do tego podłączyć? Ma listę wszystkich root CA i uderza do nich?

[_LM_]

@Gieneq troszkę offtop, wiesz jak uruchomić mqtts na esp32 w esp idf? Tak tylko pytam bo jak coś założę później osobny wątek eot 

[Gieneq]

@_LM_ tak, robiłem MQTTS na porcie 8883 i MQTT po WSS na porcie 443.

[Gieneq]

Podobne pytanie zadałem na forum Espressifa. Dostałem odpowiedź, że ESP-IDF ma listy certyfikatów CA. Pełna lista zajmuje z 200kB, jest do aktywacji w menuconfig:

Wtedy użycie esp_crt_bundle załatwi sprawę:

    // mqtt_cfg.broker.verification.certificate = (const char *)cfg->broker_certificate;

    mqtt_cfg.broker.verification.crt_bundle_attach = esp_crt_bundle_attach;

Można też dodać własny certyfikat, np. do połączenia z własnym serwerem. Pozostaje jeszcze kwestia aktualizacji oprogramowania. W dokumentacji jest info, że trzeba przewidzieć wycofanie certyfikatu:

Cytat

Trusting all root certificates means the list will have to be updated if any of the certificates are retracted. This includes removing them from cacrt_all.pem.

Czyli bez OTA się nie obędzie.