Vlákno názorů k článku
Let's Encrypt vydal první certifikát obsahující IP adresu od Josef Pavlik - Ze by se konecne blizilo reseni problemu s...

Jiste jirsaku , protoze kazdy rj45 vede do internetu lol ... 99% tehle krabic internet vzivote neuvidi, presto se na ne nekdo chce pripojovat. Divny vid?

Ovšem pokud je to zařízení třeba domácí router, který vyžaduje nastavit PPPoE, číslo VLANy, uživatelské jméno a heslo, tak to prostě po vybalení z krabice do internetu připojené být nemůže. Stejně tak zařízení pouze s Wi-Fi, které se taky na začátku nějak musí dozvědět přístupové údaje k Wi-Fi.

Jak tohle budou výrobci řešit je už teď vidět na některých prémiových zařízeních jako O2 Smart Box, nebo třeba Chromecast - to zařízení pro jistotu žádné webové rozhraní nemá a nastavuje se proprietárním protokolem pomocí proprietární mobilní aplikace, bez které s tím zařízením uživatel nepohne.

Než toto tak radši stokrát odkliknu varování, že spojení po http není zabezpečené.

To varování ale v budoucnu odkliknout nepůjde. A právě proto, abychom se nevrátili zpět do doby, kdy každé takové zařízení bude vyžadovat svou proprietární aplikaci, je potřeba vymyslet, jak to řešit v prohlížeči přes HTTPS. K tomu úvodnímu nastavení, aby se zařízení vůbec připojilo k internetu, není potřeba zas tolik údajů, takže to se dá řešit třeba přes Bluetooth nebo NFC. Jak už to ostatně některá zařízení dělají.

Pevně doufám, že ta možnost odkliku v prohlížečích zůstane.
Přesně v situaci, kdy máte na jednom konci kabelu router a na druhém konci počítač, za kterého to nastavujete, je bazírování na šifrované komunikaci úplně zbytečné.
Stejně tak je možné už dneska odkliknout ten self-signed certifikát a přistupovat na jméno zařízení. Pokud ten router má pod palcem i DHCP a DNS, dají se s tím dělat kouzla.

Jenže uživatelé v drtivé většině případů nerozliší, kdy je to bezpečné a kdy ne. Takže se kvůli nějaké hlouposti s routerem ohrožují bankovní účty, e-maily, komunikace se státem a spousta jiných věcí, která je řádově důležitější, než nějaká komunikace s routerem.

Promiňte, ale tohle je typické páchání dobra.
HTTP komunikace není sama o sobě bezpečná z principu. Tak to je. Proto je potřeba používat HTTPS.
Ale je nesmysl ji zakazovat jen proto, že by ji někdo mohl použít místo té bezpečné. Když lidi odnaučíme používat mozek, nesmíme se divit, že dělají hlouposti.
To upozornění je až dost. Pokud běžný uživatel uvidí varování, měl by buď umět rozhodnout, zda dělá správně - a taky by měl nést následky svého rozhodnutí.
Ale nenechat ho rozhodovat povede jen k tomu, že se nebude rozhodnout umět - natož rozhodnout se správně!

Není to nesmysl. Opravdové zabezpečení se dělá tak, že se prostě udělá, a nenechává se na uživateli, aby si vybíral, zda to chce bezpečné nebo nebezpečné – když uživatel vůbec netuší, o co jde.

Běžný uživatel to prostě rozhodnout neumí. Elektrikář se vás také neptá, zda má fázi přivést do zásuvky na kolík nebo na dutinku, pilot se neptá cestujících, zda má tu bouřku obletět nebo letět skrz. Ti lidé tomu nerozumí. A stejně tak nerozumí tomu, kdy je potřeba zabezpečené spojení a kdy zcela výjimečně ne.

Elektrikář mi na výběr nedá, dokonce obvykle dá fázi na stejnou stranu. Ale nic - kromě pudu sebezáchovy - mi nebrání použít místo prodlužovačky obyčejnou dvoulinku s banánky na koncích. Taky mi nic nebrání použít zástrčku bez připojení uzemnění, připojuji-li třeba jen rádio nebo holicí strojek.
Ti lidé tomu nerozumí právě proto, že nedostanou nikdy šanci o něčem takovém rozhodovat.
IMHO úplně stačí mít prohlížeč nastavený na HTTPS first a důrazné upozornění s možností to odkliknout a pokračovat. Pak lze vcelku směle předpokládat, že ten, kdo tam to http:// na začátek napíše, nejspíš ví, co dělá, a proč. (Nebo si to alespoň myslí).

Nebo si to alespoň myslí
No a to je právě ten problém.To si myslel i Pražan, který si myslel, že se s ním chce oženit Sandra Bullock, a poslal jí peníze. Ostatně i tady na Rootu byste v tomto případě našel víc těch, kteří si myslí, že vědí, co dělají a proč, než těch, kteří to opravdu vědí.

Jenže protože se najde pár hlupáků, kteří posílají své peníze česky píšící Sandře Bullock, nevezmeme všem možnost odesílat peníze na jiný účet.
Stejně tak není z bankovnictví odstraněna možnost dát povolení k inkasu z účtu (dokonce bez limitu!), přestože tím protistraně jasně dáváte možnost úplně vyčerpat vaše konto.

RRŠ: Ten příklad se vám moc nepovedl. Za prvé, posílání peněz na jiný účet je základní funkce běžného účtu. Bez toho by to byl jen vklad. Za druhé, ty peníze nejde na neznámý účet odeslat jen jedním kliknutím. A za třetí, banka při odeslání peněz hlídá vaši bezpečnost daleko víc, než prohlížeč. Pokud platbu vyhodnotí jako rizikovou, tak ji neprovede – a fakt to nebude vypadat tak, že by vám v bankovnictví jen zobrazili, že jestli opravdu víte co děláte, máte kliknout na tlačítko.

Banky totiž vědí, že nejslabším článkem je uživatel. A také vědí, že nemá smysl ptát se uživatele, jestli ví, co dělá. Každý uživatel, který provedl nějakou hloupost, si myslel, že ví, co dělá.

Filip Jirsák:
Posílání peněz na jiný účet opravdu je základní funkce běžného účtu - asi jako je načtení stránek po HTTPS jednou ze základních funkcí prohlížeče. Nicméně jsem tam pro jistotu přidal ten příklad s inkasem.

Mohu Vás ujistit, že pokud banka pojme podezření, že klient naletěl, pokusí se s ním spojit a jemně upozorní, že ta platba nemusí být úplně v pořádku. Je to taková obdoba té odklikávací hlášky.
Asi byste byl překvapen, kolik těch klientů na provedení takové platby trvá. Pokud není zákonný důvod (tedy se to nepodaří naroubovat na praní špinavých peněz), banka takovou transakci provést musí.

Ten příklad s inkasem se liší podle banky – mně banka nedovolí nastavit inkaso bez limitu. K těm převodům – občas si někdo v diskusních fórech stěžoval, že mu banka nedovolila převést peníze na účet bitcoinové směnárny. A banku nepřesvědčil o tom, že to opravdu chce udělat. Takže banka umí i podstatně tvrdší přístup, než jemné upozornění.

Chování prohlížečů se bude dál více zabezpečovat. Protože uživatelé v drtivé většině případů neumí posoudit, zda je to bezpečné nebo ne. Jediné, co je v tu chvíli zajímá, je aby se dostali na tu stránku. Možná pak budou mít IP adresy z lokální sítě výjimku, že u nich půjde zabezpečení obejít. Nicméně ani to nebude trvat věčně, protože už se dávno ví, že bezpečnost těchto zařízení je tristní. Proto bylo v EU zakázáno to, aby ta zařízení měla univerzální výchozí hesla. Používání HTTP místo HTTPS při administraci těch zařízení je jen další díra v bezpečnosti těch zařízení.

Pokud převádíte peníze na bitcoinovou směnárnu, kterou má banka na AML seznamu, tak opravdu ten převod zablokuje. Podobné to bude s platbou na účet nějaké nelegální sázkové kanceláře.

Tohle (zakázání HTTP či nemožnost povolit self-signed certifikát) ale není lepší zabezpečení, ale ponižování funkčnosti.
Připomíná mi to okřídlený poznatek ze zabezpečování železnic: Pečlivým rozborem nehod, ke kterým dochází na železnici, bylo zjištěno, že drtivá většina z nich byla způsobena pohybem vozidel. Tuto příčinu se snaží zabezpečovací zařízení odstranit.
Očekávám tedy, že někdo zjistí, že nejbezpečnější bude, když ten webový prohlížeč nebude komunikovat vůbec. Co nic nedělá, nic nezkazí.
Jak psáno o kus vedle: takový prohlížeč bych nepoužíval.

Zakázání HTTP a a nemožnost obejít nedůvěryhodný certifikát je zalepení té největší bezpečnostní díry, kterou dnešní webové prohlížeče mají. Tahle možnost totiž přenáší na uživatele rozhodování o bezpečnostních aspektech, o kterých drtivá většina z nich vůbec nic netuší.

Je to ponižování funkčnosti? Ano, samozřejmě. A je to tak v pořádku. Letadla také mají poníženou funkčnost, místo aby měl před sebou knipl každý pasažér, mají ho jen piloti. Na operačním sále se také nedává skalpel do rukou pacientovi, přestože by mu to dalo k dispozici funkčnost, kterou dnes nemá. Akorát se prostě v průběhu času ukázalo, že není užitečné dávat lidem do rukou nástroje, se kterými neumí zacházet.

A že vy byste takový prohlížeč nepoužíval? V pořádku, nikdo vás k tomu nenutí. Klidně si naprogramujte vlastní prohlížeč. Drtivá většina lidí ale bude používat prohlížeč, který je pokud možno bezpečný a který jim nedává do ruky nebezpečné nástroje, kterým nerozumí a které by v drtivé většině případů použili nebezpečně.

Uvědomte si jednu věc: letadlo řídí pilot = jen on má knipl, jen on rozhoduje, jak a kam poletí; operuje chirurg = jen on má skalpel, jen on rozhoduje, kam bude řezat; ale prohlžeč používá uživatel, a jen on by měl mít možnost rozhodovat, jak a kam se připojí.

Pilot řídí a rozhoduje, pasažéři jsou jen uživatelé. Chirurg operuje a rozhoduje, pacient je jen uživatel. Uživatel prohlížeče je také jen uživatel, nemá odborné znalosti na to, aby posoudil, co je bezpečné a co není. Stejně jako nemá pasažér letadla odborné znalosti na to, aby letadlo mohl pilotovat, a pacient nemá odborné znalosti na to, aby provedl operaci.

Promiňte, ale v tomhle se asi opravdu neshodneme.
Uživatel prohlížeče je ten, kdo rozhoduje, kam se připojí a co chce zobrazit - stejně, jako řidič rozhoduje, kam pojede, pilot, kam poletí, a chirurg, do čeho řízne.

7. 7. 2025, 19:18 editováno autorem komentáře

Já teda pevně věřím, že i ten nejhorší pilot toho ví o pilotování, chirurg o operování a řidič o řízení mnohem mnohem víc, než běžný uživatel webového prohlížeče o bezpečnosti.

Ano, dementizace produktu v praxi a klasická páchání dobra jak píše RRŠ. Jen tohle samo o sobě by mě už z technických důvodů donutilo změnit prohlížeč.

> Přesně v situaci, kdy máte na jednom konci kabelu router a na druhém konci počítač, za kterého to nastavujete, je bazírování na šifrované komunikaci úplně zbytečné.

Ano, pokud ovšem máte zajištěno, že nemáte otrávenou cache, a že se nepřipojíte do žádné jiné sítě, dokud budete přihlášen. A I tam mohou být nějaká „ale“…

Jaká zařízení a jak? A jak je to implementováno, že je to multiplatformní a s příslibem dlouhodobé podpory? A co je za nápad vyžadovat Bluetooth či NFC (HW který zařízení nejspíš nemá - router má ethernet a wifi), když už jsme se připojili po normální IP síti?

> A právě proto, abychom se nevrátili zpět do doby, kdy každé takové zařízení bude vyžadovat svou proprietární aplikaci, je potřeba vymyslet, jak to řešit v prohlížeči přes HTTPS.

Tady mi přijde, že ta sekvence událostí začíná být nějak špatně. Nemělo by tohle být už vymyšlené teď v době, kdy reálně hrozí, že HTTP (self-signed HTTPS) přestane jít každou chvíli používat?

5. 7. 2025, 23:20 editováno autorem komentáře

Třeba NFC se používá k párování Bluetooth zařízení: https://helpguide.sony.net/mig/Z003736211/CS/contents/TP0000629143.html

Zařízení s WiFi se nyní často konfigurují tak, že vytvoří vlastní síť, k té musíte mobil přepojit, nakonfigurujete je, a pak mobil vrátíte do původní sítě. Což není moc pohodlné.

Tady mi přijde, že ta sekvence událostí začíná být nějak špatně. Nemělo by tohle být už vymyšlené teď v době, kdy reálně hrozí, že HTTP (self-signed HTTPS) přestane jít každou chvíli používat?
Zjevně přístup „včasné upozornění ignorujeme, a když změna skutečně nastane, stěžujeme si, že nás nikdo neupozornil“ není české specifikum. Ostatně jak dlouho používala tahle zařízení pro konfiguraci Flash nebo Java Applety?

> Třeba NFC se používá k párování Bluetooth zařízení: https://helpguide.sony.net/mig/Z003736211/CS/contents/TP0000629143.html

Myslel jsem, že se bavíme o routerech, a konfiguraci bez nutnosti mobilní aplikace, která kdo ví jak bude za pár let fungovat. Ostatně, vámi odkazovaná stránka úplně krásně ilustruje to, o čem psal Oskar:

1) "Chytré telefony s podporou funkce NFC s nainstalovaným systémem Android 2.3.3 nebo novějším" = návod a aplikace jsou nejspíš z roku 2011 a kdo ví jak to bude fungovat na současných telefonech. A pokud mám iPhone, nebo dokonce něco úplně jiného, tak mám smůlu

2) "Na chytrém telefonu stáhněte a nainstalujte aplikaci „NFC Easy Connect“." = uváděný odkaz na Google Play vrací 404. Zadání adresy do Wayback Machine odhalí první snapshot té stránky v prosinci 2012, poslední funkční snapshot v září 2019 s "Updated: October 1, 2013" a od 2021 dál 404. Jinými slovy, aplikace zmizela (ne nutně smazána výrobcem - Google Play ji smaže pokud se přestane podporovat API které používá, neodsouhlasíte nové podmínky atd.) asi po 8 letech a máte těžítko.

No a tohle přesně čeká všechna ta další zařízení, co se dnes tak moderně "konfigurují aplikací". Mezitím mnohem starší síťová zařízení s webovým rozhraním buď se stávajícími prohlížeči fungují normálně (pokud je to normální HTML a trocha JS), nebo v krajním případě spustím svůj virtuál s Windows XP a tam to otevřu v Internet Exploreru. Neoptimální, ale stále mnohem lepší, než shánět 5 let smazaný APK fungující jen na 10 let starém Androidu a vyžadující Bluetooth a NFC (=není možné spustit ve starém virtuálním Android-x86).

> Zjevně přístup „včasné upozornění ignorujeme, a když změna skutečně nastane, stěžujeme si, že nás nikdo neupozornil“ není české specifikum.

A co tedy podle vás má výrobce takového zařízení udělat? Přijde mi, že zamáváte rukama "průmysl, výrobci prohlížečů a CA se mají dohodnout", cool, ale já nejsem průmysl.

Když dnes pro nějakou komunikaci používáme aplikace založené na standardech místo proprietárních aplikací, znamená to, že někdy v minulosti vznikl standard, který takovou komunikaci umožňuje – a obvykle nahradil proprietární řešení.

Mimochodem, právě proto vznikají standardy jako WebNFC nebo WebUSB, aby pro tohle nemusely vznikat proprietární aplikace, ale dalo se to vyřešit ve webové aplikaci.

Také bych připomněl, že se bavíme o poměrně specializovaných zařízeních nebo situacích. Buď taková zařízení, která mají jen WiFi, nebo situace, kdy je potřeba zařízení nějak speciálně nakonfigurovat po té, co se připojí k ethernetu. Typický uživatel ve své domácí síti prostě zapojí router, ten se připojí k internetu a je vyřešeno. (A pokud k tomu nebudou existovat standardy, připojí se ten router do cloudu výrobce a uživatel jej bude konfigurovat přes ten cloud. Což je ještě o něco horší situace, než ty proprietární aplikace.)

Výrobci prohlížečů a CA se na ničem dohodnout nepotřebují. Průmysl se teoreticky dohodnout může, ale obvykle si to raději nechá nadiktovat z venku. Do té doby to pravděpodobně bude řešit cloudem. Nadiktování z venku pak bude vypadat tak, že to vytvoří někdo z velké pětky a ostatní se budou muset přizpůsobit. A nebo to nadiktuje EU v rámci udržitelnosti, podobně, jako nadiktovala třeba USB-C.

> Mimochodem, právě proto vznikají standardy jako WebNFC nebo WebUSB, aby pro tohle nemusely vznikat proprietární aplikace, ale dalo se to vyřešit ve webové aplikaci.

Ano, to považuji za skvělé. A tato pokročilá API jsou limitována jen na stránky načtené přes HTTPS :).

> Typický uživatel ve své domácí síti prostě zapojí router, ten se připojí k internetu a je vyřešeno.

Jednak přesně o tom Oskar psal (nastavení PPPoE) - OK, když aplikace přestane fungovat, nejspíš to půjde obejít tím, že tomu nějak externě zařídím přímou konektivitu - a jednak mi teď došlo, že tohle zase znamená, že to závisí na tom, že někde u výrobce běží nějaká služba, která vydává certifikáty, přiděluje DNS a případně servíruje HTML a JS. A tam opět víme jak to po pár letech skončí, že.

> Výrobci prohlížečů a CA se na ničem dohodnout nepotřebují. Průmysl se teoreticky dohodnout může [...]

Já tvrdím, že jsme v situaci, kdy ani výrobce, který opravdu upřímně chce udělat tu věc dobře, nemá jak. Tj. to je horší než situace, kterou popisujete - kdy "správné řešení" existuje a je známé, "jen" ho většina výrobců nedodržuje a je potřeba je k tomu donutit.

Oskar psal o nastavení PPPoE nebo VLAN – to dělá jen velmi malá část domácích uživatelů, a jsou to takoví, kteří se aspoň trochu orientují. A i v takové situaci je pomoc snadná – zapojit ten router nejprve jako běžné zařízení do existující sítě, takže bude mít normální internetovou konektivitu bez konfigurace. Takže si může nechat vystavit uznávaný certifikát. Pak se k tomu zařízení připojím přes standardní HTTPS, nakonfiguruju tam ty speciality a teprve pak ho zapojím na jeho cílové místo, kde potřebuje mít nakonfigurované PPPoE, VLANy apod.

A když na tu úvodní konfiguraci bude existovat standard, nemusí ten web s WebNFC přes HTTPS poskytovat výrobce zařízení, ale může ho provozovat kdokoli. Třeba konsorcium, které ten standard vytvoří.

Přidělování DNS by podle mne měl řešit ISP. Dříve ISP poskytovali e-mailové schránky nebo prostor pro webové prezentace, dnes by podle mne měli každému zákazníkovi poskytnout DNS zónu. To, že se k zařízením v SOHO sítích stále přistupuje pomocí IP adres, protože to, aby si tam zákazník nakonfiguroval veřejnou doménu, je složité (a doména není zadarmo), je selhání IT průmyslu.

Podle mne má standardní SOHO přípojka k internetu vypadat tak, že od ISP zdarma dostanu /56 blok IPv6 (plus zatím ještě i nějakou IPv4) a DNS zónu (také zdarma, 3. nebo vyššího řádu provozovanou ISP). K tomu se připojí router (někdy od ISP, někdy od zákazníka), který bude zajišťovat registraci zařízení v té síti. Tj. nejen, že jim přidělí IP adresu (to už dnešní routery dělají), ale také je zaregistruje v DNS (v té veřejné zóně – dnes routery někdy umožňují registraci do lokální domény) a pokud to zařízení bude vystupovat v roli TLS serveru (třeba jen pro webovou konfiguraci), zprostředkuje vystavení certifikátu pro ten DNS název (protokolem ACME). Na všechno už protokoly existují, někde by možná bylo vhodné něco doplnit, a hlavně je potřeba standardizovat, jak se to má chovat jako celek.

Výrobce, který by tu věc chtěl upřímně udělat dobře, by musel nějak začít používat výše uvedené a popsat, jak to dělá (tj. vytvořit ten standard). DNS by zatím musel poskytovat vlastní, protože ISP to zatím nenabízí. (Zase by to měl jednodušší, že by DNS název mohl rovnou „vypálit“ do zařízení, tudíž by odpadly starosti s tím, jak zaregistrovat tu doménu od ISP do zařízení.)

Je to klasický případ, kdy trh moc nefunguje – SOHO zákazníci jsou zvyklí používat IPv4 adresy nebo bastly jako mDNS. Pokud by nějaký výrobce přišel s tím, že to vyřeší, ale bude to fungovat jen tehdy, když zákazník bude mít v domácí síti jen zařízení od toho jednoho výrobce, díru na trhu s tím neudělá. Protože zákazníci jednak ani netuší, že ten současný systém je už asi tak 20 let zastaralý; jednak nechtějí být vázáni na jednoho výrobce; a jednak ani jeden výrobce nevyrábí všechny druhy zařízení, které se dnes připojují do domácích sítí – to by musel dělat minimálně routery, NAS, televize, telefony, ale spíš také bílou techniku, zvonky, regulaci vytápění a spoustu dalších IoT.

Takže to čeká na to, až to zkusí protlačit někdo z velké pětky, protože v tom uvidí nějakou příležitost. A nebo až se toho chopí někdo více či méně mimo trh, třeba EU, a nebo třeba nějaká skupina poskytovatelů TLD (třeba protože budou chtít ten standard navrhnout tak, že si SOHO bude moci vybrat, zda použije zdarma doménu 3. řádu od ISP, nebo si rovnou koupí doménu 2. řádu).

Mimochodem, na tomhle závisí třeba i používání IPv6 v domácích sítích. Protože ten argument, že nikdo nebude opisovat IPv6 adresy, je relevantní. A odpovědí sice je DNS, ale to se nejprve musí DNS v SOHO sítích začít normálně používat. A musí to být jednoduché – tedy ne že když připojím nové zařízení do sítě, budu muset jít do šíleného rozhraní administrace routeru, a tam jednak v konfiguraci IP adres nastavit tomu zařízení pevné IP adresy, a pak ještě v konfiguraci DNS nastavit nějaký název. Musí to být tak jednoduché, že když budu zařízení připojovat přes WiFi, tak mu nechám předat přístupové údaje k WiFi a rovnou ho pojmenuju. A nebo když zařízení připojím do sítě, vyskočí mi notifikace v mobilu, že bylo přidáno nové zařízení a jak ho chci pojmenovat.

Všechno jsou to technologie, které už existují, „jenom“ se musí vhodně poskládat dohromady a musí se z nich stát standard.

ehm "trh dobre nefunguje"... naopak, tento Vas elaborat (a cela diskusia) je velmi pekna ukazka toho, ze "trh funguje pekne, ale nejaki jiraskovci sa do toho rozhodli hodit vidle".

HTTP je uplne ocividne jednoduchy dobre pouzitelny standard na takyto use-case a je cisty bruselizus nanucovat vami popisanu uplne sialenu konstrukciu miesto toho.

Pavel...: Pokud považujete za správné, že se z internetu na svá domácí zařízení – třeba soubory na vašem NASu – dostanete jenom přes cloud jeho výrobce, pak trh funguje. Ta popsaná „úplně šílená konstrukce“ je potřeba k tomu, abyste se k nim dostal i bez cloudu výrobce. Ale jestli se na svůj NAS chcete z internetu dostávat po nešifrovaném HTTP zadáním IPv6 adresy, nikdo vám v tom nebrání.

Kdybyste na šifrování přenosu přeci jen v budoucnu změnil názor, zprávička je o tom, že si budete moci od Let's Encrypt pořídit i certifikát na IP adresu.

> Je to klasický případ, kdy trh moc nefunguje – SOHO zákazníci jsou zvyklí používat IPv4 adresy nebo bastly jako mDNS.

Já bych řekl, že trh zde funguje, jen trochu jinak, než byste si Vy (nebo i já) přál. Je tu spousta různých věcí k řešení. Složitý problém, který reálně pálí málokoho, nemá tak dobré řešení, jako by si hrstka uživatelů (včetně nás dvou) přála. Holt věc priorit.

BTW, nějaká řešení reálně existují. Třeba Home Assistant nabízí SNI proxy a subdoménu – dostanete subdoménu, tu obsluhuje jejich server, který routuje provoz k vám domů. Do šifrovaného provozu nevidí, jen to rozhodí podle SNI konkrétnímu uživateli. Funguje to i za NATem (klient -> SNI proxy <- domácí server), certifikáty si řeší domácí server a SNI proxy k nim nemá klíče.

Italové se toho úplně tvrdošíjně nedrží, leckde mají E/F, jsou tam podle jejich norem legální a celkem běžně se i instalují, ale mají v tom naprosto neuvěřitelný chaos; takový italský. Navíc E/F samozřejmě i do 10 ampérové varianty (což je samo o sobě pozoruhodné, že mají dvě varianty podle jištěného proudu) Type L vložíte, ovšem bez uzemění, samozřejmě. Jde to tedy. Ale není to kompatibilní a obvykle ani bezpečné, to je jasné.

Vy potřebujete pro přístup do webové konfigurace jednoho routeru celý /64 rozsah?

Předpokládám, že by stačilo na privátní lokální rozsah, ale to je stejně hloupá situace, jako s oblíbeným 192.168.1.1 - nejste sám, kdo takovou IP má, takže ten certifikát (od solidní CA) nedostanete.
A nebo použijete veřejnou IP, což ovšem v IPv6 světě znamená celý balík adres (už proto, že část IPv6 adresy se může měnit - kvůli ztížení sledování komunikace).

Nikoli, ve světe IPv6 stále existuje i jedna jediná adresa. Když se budete připojovat prohlížečem do webového rozhraní routeru, připojujete se k jedné IP adrese – ať je to IPv4 nebo IPv6. Buď tu adresu zadáte přímo, nebo se přeloží přes DNS.

Jenže tu adresu musíte vědět.
(A teď odbočím od problematiky nastavení routeru jako takové, protože tam tam tu adresu znáte, ale je v privátním rozsahu, takže jediný certifikát, který můžete dostat, je self-signed nebo od nějaké vlastní CA...)

Pokud jde o adresu z Internetu, pak ji buď musíte mít natvrdo nastavenou, nebo ji přidělí nějaký automatický mechanismus.
První případ má zřejmé nevýhody v nutnosti ruční konfigurace. Druhý obvykle přiděluje IP adresy náhodně, s pevným prefixem. Přičemž jde o záměr a nedoporučuje se to snažit obcházet. (Ale ano, existuje i varianta s použitím MAC...)
To znamená, že jedno a to samé zařízení může svou adresu do jisté míru měnit. A aby toho nebylo málo, je běžné, že každé zařízení má těch adres přidělených a aktivních hned několik...
Chci říct, že přidělování certifikátů na IP adresu dává smysl pouze v nemnoha specifických případech, a IPv6 to spíše komplikuje.

Když router dostane od ISP přidělený blok IPv6 třeba o velikosti /64, jako svou adresu a bránu zvolí první adresu z této sítě. Což je pro vystavování certifikátů pořád lepší (má veřejnou IPv6 adresu, na kterou lze vystavit certifikát), než privátní IPv4 adresa, na kterou veřejný certifikát pro domácí použití nezískáte.

Přidělování certifikátů na IP adresu má smysl pouze v nemnoha případech, to tu nikdo nerozporuje. Podstata mého sdělení byla ta, že pro to potřebujete veřejnou IP adresu, kterou u IPv4 nedostanete zadarmo, zatímco u IPv6 ano. Pokud máte veřejnou IPv4 adresu, pak je to stejně jednoduché či obtížné, jako s IPv6 adresou.

Vzhledem k tomu, že třeba Android používá SLAAC, jinak to nefunguje, mám v síti SLAAC a ne DHCP server. Já potom ale nevím, jakou adresu to dané zařízení bude mít.

Čistě prakticky: pokud s tím zařízením komunikujete napřímo, tak ani žádnou IP adresu nepotřebujete. Ten router si klidně může veškerou komunikaci nechávat, a reagovat na úplně libovolnou IP.
Jen je nutné mít na začátku možnost se k němu napřímo připojit.

Pohodlnější je, když se k tomu zařízení nemusíte napřímo připojovat. Ale hlavně – lidé chtějí pokud možno zařízení vybalit, podle obrázků zapojit dráty a fungovat. Ne nejprve něco nastavovat. Domácí uživatel vybalí router, zapojí ho, opíše jméno a heslo do WiFi nebo ho ofotí a má hotovo. Pokročilejší uživatel připojení nějaká zařízení kabelem a nechce, aby se mu v tu chvíli zbláznila, protože jim router bude unášet spojení.

Pokud ten router opravdu nepotřebuje nastavovat, nepotřebuje také unášet komunikaci, nepotřebuje komunikovat ani po HTTP, ani po HTTPS... ;-)