Ssl IoT设备的自签名证书或CA证书

在服务器和物联网设备之间的安全通信方面，我无法理解使用CA证书的真正好处是什么

我在一个使用Ubuntu作为操作系统的物联网设备上工作，我计划使用CA证书。但是如果我的用户不更新他们的设备固件会发生什么？ 现在证书在1年后到期，并且考虑到一些用户很长时间没有更新他们的物联网设备。。。我将遇到的风险是，这些设备在证书过期后无法更新，因为它们无法与我的服务器通信

有了自签名证书，我可以设置45年的有效期，不管怎样，我将获得授权，我可以撤销或决定何时发布新证书，甚至交叉签名证书

很明显，我所说的只是设备和服务器之间的通信。。。用户的RESTAPI将使用默认CA证书

---

我正在考虑的另一个选择是使用CA证书进行设备和服务器通信，但同时添加一个自签名证书，以便在主证书过期且设备需要下载新软件（将包含新证书）时作为备份。这是可行的解决方案吗

---

我应该这样处理证书吗？！或者我应该使用OS根存储并确保它以某种方式更新吗？（在本例中…如何？…唯一的方法是发布设备firmare的更新，我想）

证书用于身份验证和加密。看

如果您希望确保接收的数据来自经过身份验证的设备，那么您将使用证书。 您可以使用证书加密每个请求。但这将耗费大量资源。或者使用证书进行身份验证，并返回JWT令牌以供进一步请求。（这就是服务帐户在云中的工作方式。）

手动证书管理很快就会变得复杂。 服务帐户是验证应用程序/设备的常用方法。KeyClope是一个支持服务帐户的开源选项

---

您应该将设备更新与身份验证分开。设备更新可能在经过身份验证的设备上发生，也可能不会发生。等待证书过期来更新设备听起来很奇怪。

正在使用的SSL客户端和服务器是什么？这个问题的答案可能会限制你的灵活性。必须对自签名或其他证书进行设置，那么设置流程是什么样的呢？您是否使用双向相互SSL身份验证？不管答案是什么，如果设备不会被更新，那么一旦发现漏洞，这些设备就会受到攻击。我目前正在使用证书来验证每个请求