Как организовать проверку SSL сертификата сервера на устройстве?

Question

[motomac]

Есть железное устройство, общающееся с REST API по HTTPS. У сервера нормальный сертификат, выданный Comodo. Как правильно организовать проверку сертификата на устройстве в долгосрочной перспективе?

Можно закинуть на устройство Root сертификат Comodo и проверять по нему, но

1. В таком случае все последующие обновления сертификата сервера придется проводить у Comodo и надеяться, что эта компания будет здравствовать;
   
2. Сертификат Comodo тоже когда-то истекает. Не завтра, но все же.
   

Другой вариант не сильно лучше - это закинуть актуальные сертификаты всех ключевых центров сертификации, как это делает, например, Node.JS. В этом случае мы хотя бы не завязаны на одном центре сертификации, но остальные проблемы остаются.

Самоподписанный сертификат не вариант, т.к. с тем же REST API должны общаться и браузерные клиенты.

Просветите, как принято решать такую проблему. Возможно, я что-то не понимаю.

Answer 1

[ТыжСисАдмин]

Если у вас будут "железки" которые в последствии будет сложно обновлять то лучше запилите свой центр сертификации и самоподписный сетрификат + получите возможность запилить авторизацию железок по клиентским сертификатам и возможность отрубить доступ если что-то пошло не так :)

А самый лучший способ - не изобретать велосипед и предусмотреть возможность обновления железки юзером и в случае необходимости обновлять сертификаты/софт/etc

Ну а так-то не понятно что вы подразумеваете под "устройством".

Мы пилили терминалы на малине и пилили именно самоподписный с авторизацией по клиентским сертификаам ибо API для WEB и владельцев железок, был разный в плане функциональности.