Ismerős a helyzet? Belépsz a vadiúj IP kamerád webes felületére, és a böngésződ címsorában egy nagy, piros, „Nem biztonságos” felirat fogad. Ez zavaró tud lenni, ha http kapcsolatot használsz az meg biztonsági kockázat lehet. De hogyan varázsoljunk oda egy zöld lakatot anélkül, hogy drága, publikus tanúsítványokat vásárolnánk? Bemutatjuk a saját „tanúsítványgyár” (Local CA) felépítését egyszerűen. Lapozz tovább, ha érdekel a téma!
Amikor egy IP kamera gyári állapotban van, a webes elérése (HTTP) titkosítatlan. Ez azt jelenti, hogy a bejelentkezési adataid (felhasználónév, jelszó) egyszerű szövegként utaznak a hálózaton, amit egy ügyesebb támadó könnyedén lehallgathat. A modern böngészők (Chrome, Edge) erre figyelmeztetnek a piros „Nem biztonságos” (Not Secure) felirattal.
A megoldás a HTTPS (titkosított) kapcsolat használata. Ehhez azonban egy digitális tanúsítványra van szükség. Nem kell drága külső szolgáltatóhoz fordulnunk; létrehozhatjuk a saját „Hitelesítésszolgáltatónkat” (Local CA), amihez tökéletes eszköz egy Synology NAS. Ez lesz a mi „Főnökünk”, aki hitelesíti az eszközeinket.
A folyamat egy „kézfogással” indul. A Techson kamera generál egy Tanúsítvány Aláírási Kérelmet (CSR), vagy létrehozzuk mi magunk, ami tartalmazza az adatait (pl. IP cím). Ezt a kérelmet elküldjük a saját CA-nknak, ami digitálisan aláírja azt. Az eredmény egy hitelesített tanúsítvány és a hozzá tartozó privát kulcs, amit egyetlen csomagban (PEM fájl) töltünk vissza a kamerára.
Miután a kamerára feltöltöttük a tanúsítványt, és a számítógépünk böngészőjével is „megismertettük” a saját CA-nkat (telepítettük a megbízható gyökértanúsítványok közé), a varázslat megtörténik. A böngésző felismeri a hiteles aláírást, a kapcsolat titkosítottá válik, és a címsorban megjelenik a megnyugtató, zöld lakat. A kommunikáció mostantól biztonságos.
Saját tanúsítványokat generálni elsőre bonyolultnak tűnhet, de ahogy az ábrák is mutatják, a folyamat logikus és házon belül is kivitelezhető. Ezzel a módszerrel nemcsak a „Nem biztonságos” felirattól szabadulhatunk meg, de valóban biztonságossá tehetjük a kamerarendszerünk menedzsmentjét, anélkül, hogy külső szolgáltatóktól függenénk.