Certificat de confiance sur équipements industriels

To: "debian-user-french@lists.debian.org" <debian-user-french@lists.debian.org>
Subject: Certificat de confiance sur équipements industriels
From: "Jack.R" <jack.r@free.fr>
Date: Sun, 20 Jan 2019 20:16:58 +0100
Message-id: <[🔎] 20190120201658.2e3f08ac@traveller.ajs.home>

Bonjour,

J'utilise des contrôleurs d'équipements industriels qui ont une base
Debian Stretch customisée par le fabriquant de la carte CPU.
Ces équipements embarquent un certain nombre de services (serveur
web, serveur ssh, serveur FTP, ...)
Certaines connexions sont chiffrées en SSL avec un certificat
auto-signé. 
Les versions actuelles de navigateurs (firefox, chrome, ...)
déclenchent systématiquement un avertissement, il faut mettre une
exception et, si c'est faisable, la rendre permanente.

Imaginez que vous êtes l'opérateur qui tous les matins démarre sa
machine avec une belle interface web et qui doit créer/accepter
l'exception pour un certificat auto-signé dont il n'a pas la moindre
idée de ce que c'est. 

Je cherche un moyen de mettre un certificat (ou une chaîne) valide et
reconnu par les navigateurs comme de confiance. 

Une solution style let's encrypt (certbot) ne me semble pas valide car:
- les équipements n'ont pas de connexion avec internet (impossible de
  renouveler le certificat),
- l'ip et le nom de machine sont définis par l'utilisateur final et en
  fonction du secteur d'installation il peut même y avoir du DHCP,
- les équipements ne sont pas forcément reliés au réseau usine (pas de
  possibilité d'utiliser un serveur interne avec une chaîne de
  certificats),
- dans la même machine, je peux avoir plusieurs de ces équipements
  (impossible d'avoir un nom de machine/domaine -fqdn- identique)

mkcert comme utilisé ici:
https://lehollandaisvolant.net/?d=2019/01/07/22/57/47-localhost-et-https
ne cadre pas car le navigateur n'est pas nécessairement celui embarqué
par l'équipement, on peut effectuer un accès distant pour un écran
déporté affichant par exemple le status de l'équipement.

Si certains ont des pistes de recherches, je suis preneur car mes
recherches avec "trusted certificat industrial equipment" et un
apt-cache search certificate ne me retourne pas de résultat qui me
semblent intéressants.

Rassurez-moi, les éditeurs de navigateur ont bien pensé à ce cas de
figure lorsqu'ils on décidé "d'imposer" HTTPS et TLS?
Je me pose la question lorsque je lis la portion "For native apps
talking to web apps" de:
https://letsencrypt.org/docs/certificates-for-localhost/

-- 
Jack.R

Reply to:

Follow-Ups:
- Re: Certificat de confiance sur équipements industriels
  - From: Pierre Malard <plm@teledetection.fr>

Prev by Date: Re: problème avec ftp.fr.debian.org
Next by Date: récupérer son N° de tel free pour le mettre sur l'ordi
Previous by thread: Re: problème avec ftp.fr.debian.org
Next by thread: Re: Certificat de confiance sur équipements industriels
Index(es):
- Date
- Thread