В наши дни е обичайно да виждаме новинарски истории за несигурни практики на Интернет на нещата (IoT) като частни ключове, вградени във фърмуера на устройството за изтегляне и лесно достъпни за нападателите. Потенциалните клиенти на IoT и IIoT (Industrial Internet of Things) с основание са загрижени за сигурността, но не е задължително да е така!
С персонализиран, активиран ACME издаване на СО (известен също като подчинен СА or SubCA) от SSL.com, доставчиците на IoT и IIoT могат лесно да управляват и автоматизират валидиране, инсталиране, подновяване и отмяна на SSL /TLS сертификати на устройства, поддържащи ACME. С ACME личните ключове ще бъдат сигурно генерирани и съхранявани на самото устройство, като елиминират всякаква нужда от несигурни практики за работа с ключове.
Какво е ACME и как може да работи с IoT?
Автоматизирана среда за управление на сертификати (ACME) е стандартен протокол за автоматизирана проверка на домейна и инсталиране на сертификати X.509, документирани в IETF RFC 8555, Като добре документиран стандарт с много отворен код клиентски реализации, ACME предлага на доставчиците на IoT безболезнен начин за автоматично предоставяне на устройства като модеми и рутери с публично или частно доверени сертификати за крайни субекти и да актуализират тези сертификати с течение на времето.
SSL.com сега предлага на нашите корпоративни клиенти възможността да имат интерфейс на техните устройства директно със специален, управляван ACME-активиран издаване на СО, предлагащи следните предимства:
- Автоматично потвърждаване на домейна и подновяване на сертификат.
- Непрекъснат SSL /TLS покритието намалява административното главоболие.
- Увеличава сигурността чрез по-кратки срокове на сертификат за крайно образувание.
- Управление на анулиране на сертификат
- Създаден, добре документиран стандартен протокол IETF.
- Налично обществено или частно доверие.
Как работи ACME
Когато IoT устройство с активиран ACME е свързано към интернет и трябва да поиска издаване или подновяване на сертификат, вграденият клиентски софтуер на ACME генерира двойка криптографски ключове и заявка за подписване на сертификат (CSR) на устройството. Най- CSR се изпраща до технически ограничен издаващ СА, който връща подписан сертификат. След това клиентът ACME обработва инсталирането на сертификати.
Форумът на CA / Browser Основни изисквания определи Технически ограничен сертификат за CA as
Подчинен сертификат за CA, който използва комбинация от настройки за разширено използване на ключове и настройки за ограничаване на име, за да ограничи обхвата, в който сертификатът за подчинен CA може да издава абонат или допълнителни сертификати за подчинен CA.
Например, хостващ издаващ CA може да бъде технически ограничен за издаване на SSL на крайния обект /TLS сертификати за ограничен набор от имена на домейни, собственост на доставчика на IoT за използване на безжичните му рутери. Тогава маршрутизаторът ще поиска подписан сертификат, асоцииращ име на домейн като config.company.com към IP адреса на рутера в неговата локална мрежа. Сертификатът позволява на потребителите да правят HTTPS връзки към рутера с този URL адрес, вместо да се налага да въвеждат IP адрес (напр 192.168.1.1). Най-важното за сигурността, уникален частен ключ се генерира и съхранява на всяко устройство и може да бъде заменен по всяко време.
