我们正在开发一款嵌入式设备,需要在不明文发送用户凭据的情况下登录到其Web界面。
登录表单的外观应该是可定制的,因此无法使用摘要认证。据我们所知,唯一剩下的选择是使用HTTPS与SSL。
该设备通常通过其IP地址从本地网络访问,但也可以从互联网访问。
我的问题是:当本地访问设备未分配DNS名称时,是否有可能防止“无法验证”浏览器警告?据我所知,SSL证书必须绑定到DNS名称并在证书颁发机构进行认证,才能使浏览器完全接受证书。
我完全意识到,没有经过认证的证书,浏览器无法对Web服务器进行身份验证,这可能会导致“中间人攻击”。
设备配置完成后,它很少被访问,但应该易于访问。