SSL /TLS Автоматизация за Интернет на нещата (IoT)

Ако защитата на Интернет на нещата (IoT) беше проста и ясна, нямаше да четем високопоставени истории всяка седмица за рутери с открити частни ключове намлява нарушени домашни камери за сигурност. С новини като тази не е чудно, че много потребители все още се съмняват в устройства, свързани с интернет. Очаква се броят на IoT устройствата да надхвърли 38 милиарда през 2020 г. (почти трикратно увеличение само от 2015 г.) и дойде време производителите и продавачите да се заемат сериозно със сигурността.

SSL.com е тук, за да ви помогне да постигнете това! Като публично доверен сертифициращ орган (CA) и член на CA / Browser Forum, SSL.com притежава задълбочения опит и доказана технология, необходима на производителите да осигурят своите IoT и IIoT (Industrial Internet of Things) устройства с най-добрите в класа си инфраструктура с публичен ключ (PKI), автоматизация, управление и мониторинг.

Ако трябва да издадете и управлявате хиляди (или дори стотици хиляди) публично или частно доверени X.509 сертификати за вашите устройства, свързани с интернет, SSL.com има всичко необходимо.

Пример: Осигуряване на безжичен рутер

Като проста илюстрация ще опишем сценарий с типично вградено устройство - домашен безжичен рутер. Вероятно знаете всичко за това как може да влезете в някой от тях; пишете нещо като http://10.254.255.1 в браузъра си (ако можете да го запомните), може да щракнете върху предупреждение за сигурност и след това да се надявате, че никой не проследява, когато въведете данните си за вход. За щастие производителите на IoT вече могат да предложат на своите клиенти много по-удобно - и по-важното - сигурно - преживяване чрез инструментите и технологиите, предлагани от SSL.com.

В нашия примерен сценарий производителят иска да позволи на своите клиенти да се свържат сигурно с администраторския интерфейс на своя рутер чрез HTTPS, а не HTTP. Компанията също така иска да позволи на клиентите да използват лесно запомнящо се име на домейн (router.example.com), а не локалния IP адрес на устройството по подразбиране (192.168.1.1). SSL /TLS трябва да бъде сертификат, защитаващ вътрешния уеб сървър на рутера обществено доверие, или потребителите ще се сблъскат със съобщения за грешки в сигурността в своите браузъри. Още едно усложнение е, че всеки публично доверен SSL /TLS сертификатът има твърдо кодиран живот при издаване (в момента действително е ограничен от правила за браузъра до около година). Поради това ограничение производителят трябва да включва средства за дистанционна подмяна на сертификата за сигурност на устройството, когато е необходимо. И накрая, производителят би искал да прави всички тези неща с минимални или никакви неудобства за своите клиенти.

Работейки със SSL.com, производителят може да предприеме следните стъпки, за да предостави на вътрешния уеб сървър на всеки рутер публично доверен SSL / валидиран в домейн (DV) /TLS сертификат:

1. Производителят създава DNS A записи, свързващи желаното име на домейн (router.example.com) и заместващ знак (*.router.example.com) до избрания локален IP адрес (192.168.1.1).
2. Производителят демонстрира контрол върху основното си име на домейн (example.com) към SSL.com чрез приложим валидиране на домейн (DV) метод (в този случай или имейл контакт, или търсене на CNAME би било подходящо).
3. Използване на издадено от SSL.com технически ограничено издаване подчинен СА (или SubCA) (! за повече информация за това как да получите собствено технически ограничено издаване на подчинен CA), компанията е в състояние да издава публично доверен SSL /TLS сертификати за валидираните имена на домейни на рутера. За нашия пример ще се придържаме router.example.com, но в зависимост от случая на използване това също може да бъде заместващ знак, като например *.router.example.com, Подметката би позволила издаването на сертификати, покриващи поддомейни като www.router.example.com or mail.router.example.com.
4. По време на производството всяко устройство е снабдено с уникална двойка криптографски ключове и публично доверен DV SSL /TLS защита на сертификат router.example.com.
5. Когато клиент първо свърже устройството с интернет, са възможни два сценария:
   1. Включеният SSL /TLS сертификат няма е изтекъл от производството. В този случай потребителят може просто да се свърже директно с контролния панел на рутера на адрес https://router.example.com/ с уеб браузър и няма да има никакви грешки в доверието на браузъра.
   2. Включеният SSL /TLS сертификат има е изтекъл от производството. Срокът на валидността на сертификата трябва да бъде заменен с новоиздаден. В зависимост от възможностите на устройството и предпочитанията на производителя, устройството вече може:
      1. Генерирайте нова двойка ключове и заявка за подписване на сертификат вътрешно, след което я изпратете на ограничената SubCA за подписване. След това SubCA ще върне подписан SSL /TLS сертификат.
      2. Изпратете заявка за нова двойка ключове и CSR които ще бъдат генерирани в система за управление на външни ключове, подписана от SubCA и доставена на устройството.
6. Когато е необходим нов сертификат за устройството, идентификационните данни на потребителя за влизане, включен клиентски сертификат и / или процес на атестиране на ключ могат да се използват за удостоверяване на устройството с ограничената SubCA.
7. По време на живота на устройството, неговият SSL /TLS сертификатът ще бъде заменен преди изтичане, на редовни интервали. По този начин потребителят ще се радва на непрекъснат достъп през HTTPS за целия живот на устройството.

Опции за автоматизация на IoT

SSL.com предлага на производителите на IoT устройства множество мощни инструменти за автоматизация и управление за работа с техните персонализирани SSL.com издаване на СО:

• API за SSL уеб услуги (SWS): Автоматизирайте всеки аспект на издаването на сертификат и жизнения цикъл с SSL.com RESTful API.
• ACME протокол: ACME е утвърден, стандартен протокол за валидиране на домейн и управление на сертификати с много реализации на клиента с отворен код.

И без значение коя технология за автоматизация (или комбинация от технологии) е най-подходяща за дадена ситуация, производителите и продавачите ще имат достъп до най-съвременните инструменти за управление и наблюдение на издаването на сертификати, жизнения цикъл и отмяната на техните устройства. Всяко ново Iot и IIoT устройство представя свои уникални предизвикателства и SSL.com е готов, желае и е в състояние да работи с производители, за да създаде оптимизирани решения за снабдяване на техните устройства с публично или частно удостоверени сертификати X.509. Ако той се свърже с интернет, можем да ви помогнем да го осигурите!