V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
monetto
V2EX  ›  程序员

折腾老设备的 HTTPS 请求问题

  •  
  •   monetto · 2021-10-13 19:27:51 +08:00 · 2842 次点击
    这是一个创建于 1144 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里有一批老古董的嵌入式设备,但是证书已经都过期了。更新证书又太折腾了。

    现在请求一些 HTTPS 请求,就会直接失败。

    可不可以让笔记本开热点,然后这些旧设备连接笔记本的热点,让笔记本负责解析这些请求,转发到旧设备上?

    20 条回复    2021-10-14 11:30:01 +08:00
    Qetesh
        1
    Qetesh  
       2021-10-13 19:45:00 +08:00 via iPhone
    可以,笔记本 nginx 反向代理
    ch2
        2
    ch2  
       2021-10-13 19:45:28 +08:00
    nginx 可以
    lisongeee
        3
    lisongeee  
       2021-10-13 20:42:18 +08:00   ❤️ 1
    小白没看懂,证书过期是指 嵌入式设备内置的证书过期 还是 要访问的网站的证书过期?
    还有 [让笔记本负责解析这些请求,转发到旧设备上] 这种是中间人转发,中间人不能转发 https 啊
    除非你先给你的嵌入式设备安装一个你自己的证书并信任,你都直接安装证书了应该能顺便更新一下那些证书吧
    monetto
        4
    monetto  
    OP
       2021-10-13 20:57:17 +08:00
    @lisongeee 额,是指 嵌入式设备内置的证书过期 ,这个设备请求绝大部分 HTTPS 的 URL 都会报错。所以想看看能不能拿笔记本当作中间人,代替这些老设备去解析 HTTPS 证书。
    Xusually
        5
    Xusually  
       2021-10-13 20:57:50 +08:00 via iPhone   ❤️ 1
    mitm 攻击才行,如果你旧设备可以信任 mitm 证书,那么还不如更新自己过期的根证书。

    楼上说 nginx 转发的,怎么实现?

    或者你可以改旧设备请求协议的话,统一换成 http 的,转发后面可以代理成 https 的
    monetto
        6
    monetto  
    OP
       2021-10-13 21:02:25 +08:00
    @Xusually 核心想法是更新 CA 证书吗?现在 wget python-pip 都会报错
    TomChaai
        7
    TomChaai  
       2021-10-13 21:21:40 +08:00
    解析转发有毛用?转发又不解决证书问题,反而额外制造了 mitm 问题。
    所以更新固件里的证书才是正解,如果新证书都装不上了,这垃圾玩意儿还是扔了的好
    Xusually
        8
    Xusually  
       2021-10-13 21:44:57 +08:00
    @monetto 嗯 想办法更新系统的 CA 证书
    salmon5
        9
    salmon5  
       2021-10-13 23:25:13 +08:00
    可以当古董,收藏起来
    oxromantic
        10
    oxromantic  
       2021-10-13 23:52:52 +08:00
    更新证书都折腾的设备,我的理解是没有 ssh,能说下还有啥使用价值吗
    zx900930
        11
    zx900930  
       2021-10-14 01:55:02 +08:00
    我也有这么一台设备, winxp sp2 用途仅仅是使用一个已经绝版的专用软件, 那个软件安装包和激活序列号都不见了, 公司也很早就停止支持. 所幸软件不需要联网
    Livid
        12
    Livid  
    MOD
       2021-10-14 01:58:06 +08:00   ❤️ 2
    Trim21
        13
    Trim21  
       2021-10-14 04:13:32 +08:00 via Android
    楼主的设备有 wget 用,更新 CA 不是做不到吧…笔记本上开个 HTTP 服务器把证书传到设备上
    imnpc
        14
    imnpc  
       2021-10-14 08:43:10 +08:00
    只建议更新设备 CA 证书 这种设备一般是路由吧 能上 wget 就能更新下 CA 证书就好了
    yolee599
        15
    yolee599  
       2021-10-14 08:44:24 +08:00 via Android
    很多性能有限的嵌入式设备证书都是写死在代码里的,没有控制台,没有 Linux 系统这么高级的东西,甚至没有文件系统
    swiftg
        16
    swiftg  
       2021-10-14 09:38:27 +08:00 via iPhone
    如果是由 http 页面内的 https 链接跳转过去的话,可以对这个 http 页面中间人攻击,把其中的 https 链接都替换成 http 返回给设备。如果网站不支持 https 的话,需要再来一个服务,把 https 页面内容转成 http 的
    villivateur
        17
    villivateur  
       2021-10-14 10:22:38 +08:00 via Android
    你让你的嵌入式设备直接忽略证书过期问题,应该就能解决
    kaixuan1901
        18
    kaixuan1901  
       2021-10-14 11:03:53 +08:00
    是不是因为 Let's Encrypt 根证书过期导致的?能不能直接更新证书?
    dot2017
        19
    dot2017  
       2021-10-14 11:18:04 +08:00
    @kaixuan1901 估计是 XP 年代的嵌入式,那时候的根证书基本全都失效了……
    qwerthhusn
        20
    qwerthhusn  
       2021-10-14 11:30:01 +08:00
    curl -k
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1034 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:20 · PVG 03:20 · LAX 11:20 · JFK 14:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.