I disse dage er det almindeligt at se nyheder om usikker Internet of Things (IoT) -praksis som f.eks private nøgler integreret i downloadbar enheds firmware og let tilgængelige for angribere. Potentielle IoT- og IIoT (Industrial Internet of Things) -kunder er med rette bekymrede over sikkerhed, men det behøver ikke være sådan!
Med en brugerdefineret, ACME-aktiveret udsteder CA (også kendt som en underordnet CA or SubCA) fra SSL.com kan IoT- og IIoT-leverandører nemt styre og automatisere validering, installation, fornyelse og tilbagekaldelse af SSL /TLS certifikater på ACME-kompatible enheder. Med ACME genereres og opbevares private nøgler sikkert på enheden selv, hvilket eliminerer ethvert behov for usikker nøglehåndteringspraksis.
Hvad er ACME, og hvordan kan det arbejde med IoT?
Automatiseret certifikatstyringsmiljø (ACME) er en standardprotokol til automatiseret domænevalidering og installation af X.509-certifikater, der er dokumenteret i IETF RFC 8555. Som en veldokumenteret standard med mange open-source klientimplementeringer, ACME tilbyder IoT-leverandører en smertefri måde til automatisk at tilvejebringe enheder som modemer og routere med offentligt eller privat betroede slut-enhedscertifikater og holde disse certifikater opdateret over tid.
SSL.com tilbyder nu vores virksomhedskunder muligheden for at få deres enheder grænseflade direkte med en dedikeret, administreret ACME-aktiveret udsteder CA, der tilbyder følgende fordele:
- Automatisk domænevalidering og certifikatfornyelse.
- Kontinuerlig SSL /TLS dækning reducerer den administrative hovedpine.
- Øger sikkerheden gennem kortere levetid for slutcertifikater.
- Administrer tilbagekaldelse af certifikat
- Etableret, veldokumenteret IETF-standardprotokol.
- Offentlig eller privat tillid tilgængelig.
Sådan fungerer ACME
Når en ACME-aktiveret IoT-enhed er tilsluttet internettet og skal anmode om udstedelse eller fornyelse af certifikat, genererer den indbyggede ACME-klientsoftware et kryptografisk nøglepar og anmodning om underskrivelse af certifikat (CSR) på enheden. Det CSR sendes til en teknisk begrænset udstedende CA, der returnerer et underskrevet certifikat. ACME-klienten håndterer derefter certifikatinstallation.
CA / Browserforumets Grundlæggende krav definere en Teknisk begrænset CA-certifikat as
Et underordnet CA-certifikat, der bruger en kombination af indstillinger for udvidet nøglebrug og indstillinger for navnebegrænsning til at begrænse omfanget inden for hvilket det underordnede CA-certifikat kan udstede abonnent eller yderligere underordnede CA-certifikater.
For eksempel kan en host udstedende CA være teknisk begrænset til at udstede SSL /TLS certifikater for et begrænset sæt domænenavne, der ejes af IoT-leverandøren til brug på dets trådløse routere. Routeren vil derefter anmode om et underskrevet certifikat, der knytter et domænenavn som config.company.com
til routerens IP-adresse på sit lokale netværk. Certifikatet giver brugerne mulighed for at oprette HTTPS-forbindelser til routeren med den URL i stedet for at skulle indtaste en IP-adresse (f.eks 192.168.1.1
). Det vigtigste for sikkerheden er, at en unik privat nøgle genereres og gemmes sikkert på hver enhed og kan udskiftes når som helst.