>> Почему доступ в админку на роутерах всегда по http
> Потому, что купив один роутер и поковыряв его прошивку, хакер получит закрытый
> ключ от всех роутеров этой модели. Или этого производителя. Если ты борцунство гуглезилы за тотальное шифрование всего чего не нужно (под строгим, но добрым приглядом товарищмайора, с которым сотрудничает единственно-верный CA) принесло плоды. Теперь там где нужно - не шифруется, потому что ни один нормальный пользователь не продерется через БОЛЬШУЮ-КРАСНУЮ-страницу, полную неведомой херни, и вернет роутер с такой фичей в магазин со словами "у вас в нем вирусы".
лет десять назад каждый купленный 20долларовый обмылок шел с self-signed сертом. Сейчас у большинства вообще ssl оторвали, за ненадобностью и вечными багами уровня heartbleed, остался только у корпоративных железок заподорого.
Ибо морочиться с фичей, которую смогут использовать пол-процента пользователей, производителю нафиг не нужно.
Осилить шифрование парольной формы на стороне пользователя до ее отправки - слишком сложно для двадцатидолларовых китайских "инженеров" (которые тоже живут с промытым мозгом, и других вариантов кроме ssl не видят).
> Заморачиваться с оформлением сертификата промежуточного CA, чтобы им подписывать отдельный
> сертификат для каждого устройства, производители роутеров за $20 едва ли будут.
ключ и, соответственно, подписываемый этим ca csr нужен отдельный для каждого устройства - или его рано или поздно сопрут. тот еще геморрой. Причем единственно-верный CA, узнав об этом, наверняка внесет (без твоего желания) твой IM в черный список, эффективно превратив в тыкву все проданные и уже настроенные устройства, отключить ocsp типовой юзер опять же не сможет.
И учти еще, что браузеры разучились корректно работать с сертификатами выданными на ip, а не hostname.
дивный новый мир, в котором правила диктуют полоумные индусы из гуглезилы :-(