SSL /TLS Automation til tingenes internet (IoT)

Hvis sikring af tingenes internet (IoT) var enkelt og ligetil, ville vi ikke læse højt profilerede historier hver uge om routere med udsatte private nøgler og brudte sikkerhedskameraer i hjemmet. Med nyheder som denne er det ikke underligt, at mange forbrugere stadig er mistænksomme over for internetforbundne enheder. Antallet af IoT-enheder forventes at nå over 38 milliarder i 2020 (en næsten tredobbelt stigning lige siden 2015), og tiden er inde til at producenter og leverandører bliver seriøse over sikkerheden.

SSL.com er her for at hjælpe dig med at få det gjort! Som en offentligt betroet certifikatmyndighed (CA) og medlem af CA / Browser Forum har SSL.com den dybe ekspertise og gennemprøvede teknologi, der er nødvendig for at hjælpe producenter med at sikre deres IoT- og IIoT-enheder (Industrial Internet of Things) med den bedste klasse offentlig nøgleinfrastruktur (PKI), automatisering, styring og overvågning.

Hvis du har brug for at udstede og administrere tusinder (eller endda hundreder af tusinder) offentligt eller privat tillid X.509 certifikater til dine internetforbundne enheder, SSL.com har alt hvad du har brug for.

Eksempel: Sikring af en trådløs router

Som en simpel illustration beskriver vi et scenarie med en typisk integreret enhed - en trådløs hjemme-router. Du ved sikkert alt om, hvordan du kan logge ind på en af ​​dem; du skriver noget lignende http://10.254.255.1 i din browser (hvis du kan huske det), kan du klikke på en sikkerhedsadvarsel, og så håbe, at ingen snupper, når du indtaster dine loginoplysninger. Heldigvis kan IoT-producenter nu tilbyde deres kunder en meget mere praktisk - og vigtigere, sikker - oplevelse gennem de værktøjer og teknologi, der tilbydes af SSL.com.

I vores eksempelscenarie ønsker en producent at lade sine kunder oprette forbindelse til deres routers admin-interface sikkert via HTTPS, ikke HTTP. Virksomheden ønsker også at lade kunder bruge et let at huske domænenavn (router.example.com) i stedet for enhedens standard lokale IP-adresse (192.168.1.1). SSL /TLS certifikat, der beskytter routerens interne webserver, skal være offentligt betroet, eller brugere vil stå over for sikkerhedsfejlmeddelelser i deres browsere. Endnu en komplikation er, at hver offentligt betroet SSL /TLS certifikatet har en hårdkodet levetid ved udstedelse (i øjeblikket effektivt begrænset af browserpolitikker ca. et år). På grund af denne begrænsning skal producenten medtage et middel til ekstern udskiftning af en enheds sikkerhedscertifikat, når det er nødvendigt. Endelig vil producenten gerne gøre alle disse ting med minimal eller ingen ulempe for sine kunder.

I samarbejde med SSL.com kan producenten tage følgende trin for at forsyne hver routers interne webserver med en offentligt betroet, domænevalideret (DV) SSL /TLS certifikat:

  1. Producenten opretter DNS A poster, der knytter det ønskede domænenavn (router.example.com) og et jokertegn (*.router.example.com) til den valgte lokale IP-adresse (192.168.1.1).
  2. Producenten viser kontrol med sit basedomænenavn (example.com) til SSL.com gennem en relevant domænevalidering (DV) metode (i dette tilfælde er enten e-mail-kontakt eller CNAME-opslag passende).
  3. Brug af en SSL.com-udstedt teknisk begrænset udstedelse underordnet CA (eller SubCA) (kontakt os for mere information om, hvordan du får din egen teknisk begrænsede udstedende underordnede CA), er virksomheden i stand til at udstede offentligt betroet SSL /TLS certifikater for dets validerede routedomænenavn (er). Som eksempel vil vi holde os til router.example.com, men afhængigt af brugssagen kan dette også være et jokertegn, f.eks *.router.example.com. Jokertegnene tillader udstedelse af certifikater, der dækker underdomæner som www.router.example.com or mail.router.example.com.
  4. Under fremstillingen er hver enhed forsynet med et unikt kryptografisk nøglepar og offentligt betroet DV SSL /TLS certifikatbeskyttelse router.example.com.
  5. Når en kunde først tilslutter enheden til internettet, er to scenarier mulige:
    1. Den medfølgende SSL /TLS certifikat har ikke udløbet siden fremstillingen. I dette tilfælde kan brugeren blot oprette forbindelse direkte til routerens kontrolpanel på https://router.example.com/ med en webbrowser, og vil ikke opleve nogen tillidfejl i browseren.
    2. Den medfølgende SSL /TLS certifikat har udløbet siden fremstillingen. Et udløbende certifikat skal erstattes af et nyudstedt. Afhængigt af enhedens funktioner og producentens præferencer kan enheden nu enten:
      1. Generer et nyt nøglepar og certifikatsigneringsanmodning internt, og send det derefter til deres begrænsede SubCA til signering. SubCA returnerer derefter en signeret SSL /TLS certifikat.
      2. Udgiv en anmodning om et nyt nøglepar og CSR der genereres i et eksternt nøglestyringssystem, underskrevet af SubCA, og leveret til enheden.
  6. Når der er brug for et nyt certifikat til enheden, kan brugerens loginoplysninger, et inkluderet klientcertifikat og / eller attestationsproces for nøgler bruges til at godkende enheden med den begrænsede SubCA.
  7. I løbet af enhedens levetid er dens SSL /TLS certifikatet udskiftes inden udløbet med regelmæssige intervaller. På denne måde vil brugeren nyde kontinuerlig adgang via HTTPS i enhedens levetid.

IoT-automatiseringsindstillinger

SSL.com tilbyder IoT-enhedsproducenter flere kraftfulde automatiserings- og styringsværktøjer til at arbejde med deres brugerdefinerede SSL.com udsteder CA:

  • SSL Web Services (SWS) API: Automatiser alle aspekter af certifikatudstedelse og livscyklus med SSL.com's RESTful API.
  • ACME-protokol: ACME er en etableret, standardprotokol til domænevalidering og certifikathåndtering med mange open source-klientimplementeringer.

Og uanset hvilken automatiseringsteknologi (eller blanding af teknologier), der er bedst egnet til en given situation, vil producenter og leverandører have adgang til avancerede værktøjer til styring og overvågning af certifikatudstedelse, livscyklus og tilbagekaldelse på deres enheder. Hver nye Iot- og IIoT-enhed præsenterer sine egne unikke udfordringer, og SSL.com er klar, villig og i stand til at samarbejde med producenterne om at skabe optimerede løsninger til at forsyne deres enheder med offentligt eller privat tillid til X.509-certifikater. Hvis det opretter forbindelse til internettet, kan vi hjælpe dig med at sikre det!

Tak, fordi du besøger SSL.com! Hvis du gerne vil lære mere om, hvordan SSL.com kan hjælpe dig med at sikre dine IoT- og IIoT-enheder, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side.

 

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.