インターネットにアクセスせずにアクセスポイントを実行しているWebベースのデバイス設定でHTTPSを使用するにはどうすればよいですか？

Wi-Fi構成を含む初期構成用のWebページとアクセスポイントを持つ裏庭の庭師のためのRaspberry Piベースのデバイスを構築しています。接続はWPA2を使用し、その内部ネットワーク上の2つのデバイスのみがデバイス自体とユーザーの電話/タブレット/ラップトップになります。アクセスポイントは設定中にのみ表示され、外部の攻撃者が工場出荷時のランダムなパスワードを推測できる可能性が低くなります。だから私はトラフィックを暗号化しました、ほとんど確かに2つのノードだけ、短時間、そしてランダムなパスワードです。したがって、私が見ることができるHTTPSの必要はなく、HTTPを実行することを計画していました。

しかし、今日私は7月からChromeがすべてのHTTPサイトを安全でないとマークし始めることを知りました[1]。ただし、Wi-Fi構成はアクセスポイントによって行われるため、TLS証明書を確認するためのインターネットアクセスはまだ利用できません。これは、適切な操作に必要であると理解しています。[2] 証明書に自己署名することもできますが、これには別の問題があります。[3]

だから私のオプションは次のようです：

• 大きくて怖い「このWebサイトは安全ではありません」というメッセージを設定ペ​​ージに表示します
• 大きくて恐ろしい「この証明書は信頼されていません」というメッセージ（たとえば、自己署名）を構成ページに表示します。

デバイス構成ページのデフォルトで、その素敵な緑の錠をどのように提供しますか？

[1] https://www.theverge.com/2018/2/8/16991254/chrome-not-secure-marked-http-encryption-ssl

[2] /security/56389/ssl-certificate-framework-101-how-does-the-browser-actually-verify-the-validity?utm_medium=organic&utm_source=google_rich_qa&utm_campaign=google_rich_qa

[3] https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/

1つの可能なオプションは、HTTPSを使用して、デバイスに実際の証明書を配布することです。

アクセスポイントを制御するので、おそらくアクセスポイント上のDHCPサーバーを制御するため、同時にDNSサーバーアドレスを提供することができます。

このDNSサーバーはAPに配置でき、完全修飾ホスト名を解決して自分自身を指すことができます。

次に、その完全修飾ドメイン名の証明書を購入し、これを製品にバンドルして、完全に検証されたHTTPS接続を作成できます。

このアイデアの大きな問題の1つは、そのドメイン名の秘密鍵と証明書を出荷することです。そのため、ある時点でそれが危険にさらされ、実際のマシンを置かないようにする必要があります（これでマシンを実行する必要がある場合があります）攻撃者が簡単になりすますことができるため、そのホスト名を使用するインターネット上で、実際に証明書を取得するための非常に短い時間の名前。

また、APのファームウェアは、証明書の有効期限が切れる（おそらくデフォルトでiircが1年後に）ため、寿命が限られているため、厄介な証明書の期限切れの警告が表示されます。

次のアイデア：

WiFiアクセスポイントモードを破棄してBluetoothを使用する

https://www.hardill.me.uk/wordpress/2016/09/13/provisioning-wifi-iot-devices/

欠点は、Appleは現在WebBluetoothをサポートしていないが、Windows / Linux / Mac上のChromeはサポートしており、Appleの電話/タブレットユーザー向けにネイティブiOSアプリを出荷できることです。