Pokud by zabezpečení internetu věcí (IoT) bylo jednoduché a přímé, nečetli bychom každý týden významné příběhy o směrovače s odhalenými soukromými klíči a porušil domácí bezpečnostní kamery. S novinkami, jako je tato, není divu, že mnoho spotřebitelů stále podezřívá zařízení připojená k internetu. Očekává se, že počet zařízení IoT překročí 38 miliardy v roce 2020 (téměř trojnásobný nárůst od roku 2015) a nastal čas, aby výrobci a prodejci začali brát o bezpečnost vážně.
SSL.com je tu, aby vám to pomohlo! Jako veřejně důvěryhodná certifikační autorita (CA) a člen fóra CA / Browser Forum má SSL.com hluboké odborné znalosti a osvědčenou technologii potřebnou k tomu, aby pomohla výrobcům zabezpečit jejich IoT a IIoT (průmyslový internet věcí) nejlepšími ve své třídě infrastruktura veřejného klíče (PKI), automatizace, správa a monitorování.
Pokud potřebujete vydat a spravovat tisíce (nebo dokonce stovky tisíc) veřejně nebo soukromě důvěryhodných X.509 certifikáty pro vaše zařízení připojená k internetu, SSL.com má vše, co potřebujete.
Příklad: Zabezpečení bezdrátového směrovače
Pro jednoduchou ilustraci popíšeme scénář s typickým vestavěným zařízením - domácím bezdrátovým routerem. Pravděpodobně víte vše o tom, jak může být přihlášení k jednomu z nich; zadáte něco jako http://10.254.255.1
do svého prohlížeče (pokud si to pamatujete), možná kliknete na bezpečnostní varování a doufáte, že se nikdo při zadávání přihlašovacích údajů nepřepíná. Naštěstí mohou výrobci internetu věcí nabídnout svým zákazníkům mnohem pohodlnější - a co je důležitější, bezpečnější - zkušenosti prostřednictvím nástrojů a technologií nabízených SSL.com.
V našem příkladovém scénáři chce výrobce nechat své zákazníky bezpečně se připojit k administrátorskému rozhraní svého routeru prostřednictvím HTTPS, ne HTTP. Společnost také chce zákazníkům umožnit použití snadno zapamatovatelného názvu domény (router.example.com
), spíše než výchozí místní IP adresu zařízení (192.168.1.1
). SSL /TLS certifikát chránící interní webový server routeru musí být veřejně důvěryhodné, nebo budou uživatelé ve svých prohlížečích čelit chybovým zprávám o zabezpečení. Ještě další komplikací je, že každý veřejně důvěryhodný SSL /TLS certifikát má po vydání pevně kódovanou životnost (v současné době je fakticky omezen zásady prohlížeče asi rok). Z důvodu tohoto omezení musí výrobce v případě potřeby zahrnout prostředky pro vzdálenou výměnu bezpečnostního certifikátu zařízení. Nakonec by výrobce rád provedl všechny tyto věci s minimálními nebo žádnými nepříjemnostmi pro své zákazníky.
Při práci na SSL.com může výrobce provést následující kroky, aby zajistil interní webový server každého směrovače veřejně důvěryhodným SSL /TLS osvědčení:
- Výrobce vytvoří DNS A záznamy přiřazující požadovaný název domény (
router.example.com
) a zástupný znak (*.router.example.com
) na vybranou místní IP adresu (192.168.1.1
). - Výrobce prokazuje kontrolu nad názvem své základní domény (
example.com
) na SSL.com prostřednictvím příslušného ověření domény (DV) (v tomto případě by bylo vhodné použít e-mailový kontakt nebo vyhledávání CNAME). - Použití technicky omezeného vydávání vydaného SSL.com podřízený CA (nebo SubCA) (kontaktujte nás pro více informací o tom, jak získat svůj technicky omezený vydávající podřízený CA), je společnost schopna vydat veřejně důvěryhodný SSL /TLS certifikáty pro ověřené doménové jméno routeru. Pro náš příklad se budeme držet
router.example.com
, ale v závislosti na případu použití by to mohl být také zástupný znak, například*.router.example.com
. Zástupný znak by umožnil vydávání certifikátů vztahujících se k podobným subdoménámwww.router.example.com
ormail.router.example.com
. - Během výroby je každé zařízení vybaveno jedinečným párem kryptografických klíčů a veřejně důvěryhodným DV SSL /TLS ochrana certifikátu
router.example.com
. - Když zákazník poprvé připojí zařízení k internetu, jsou možné dva scénáře:
- Přiložený SSL /TLS certifikát nemá vypršela od výroby. V takovém případě se uživatel může jednoduše připojit přímo k ovládacímu panelu routeru na adrese
https://router.example.com/
pomocí webového prohlížeče a nedojde k žádným chybám důvěryhodnosti prohlížeče. - Přiložený SSL /TLS certifikát má vypršela od výroby. Platnost certifikátu musí být nahrazena nově vydaným. V závislosti na schopnostech zařízení a preferencích výrobce může zařízení nyní buď:
- Vygenerujte interně nový pár klíčů a žádost o podepsání certifikátu a poté ji odešlete k jejich omezenému SubCA k podpisu. SubCA poté vrátí podepsaný SSL /TLS osvědčení.
- Vyžádejte si nový pár klíčů a CSR které budou generovány v externím systému správy klíčů, podepsány SubCA a doručeny do zařízení.
- Přiložený SSL /TLS certifikát nemá vypršela od výroby. V takovém případě se uživatel může jednoduše připojit přímo k ovládacímu panelu routeru na adrese
- Když je pro zařízení potřeba nový certifikát, lze k ověření zařízení pomocí omezeného SubCA použít přihlašovací údaje uživatele, zahrnutý certifikát klienta a / nebo proces ověření klíče.
- Během životnosti zařízení je jeho SSL /TLS certifikát bude nahrazen před vypršením platnosti, v pravidelných intervalech. Tímto způsobem bude uživatel využívat nepřetržitý přístup přes HTTPS po celou dobu životnosti zařízení.
Možnosti automatizace IoT
SSL.com nabízí výrobcům zařízení IoT několik výkonných nástrojů pro automatizaci a správu pro práci s jejich vlastním SSL.com vydávající CA:
- Rozhraní API webových služeb SSL (SWS): Automatizujte všechny aspekty vydávání certifikátů a životního cyklu s SSL.com RESTful API.
- Protokol ACME: VRCHOL je zavedený standardní protokol pro ověřování domén a správu certifikátů s mnoha implementacemi open-source klientů.
A bez ohledu na to, která automatizační technologie (nebo kombinace technologií) je pro danou situaci nejvhodnější, budou mít výrobci a prodejci přístup k nejmodernějším nástrojům pro správu a monitorování vydávání certifikátů, životního cyklu a odvolání na svých zařízeních. Každé nové zařízení Iot a IIoT představuje své vlastní jedinečné výzvy a SSL.com je připraven, ochoten a schopen spolupracovat s výrobci na vytváření optimalizovaných řešení pro dodávání jejich zařízení veřejně nebo soukromě důvěryhodnými certifikáty X.509. Pokud se připojí k internetu, pomůžeme vám jej zabezpečit!