Wenn die Sicherung des Internet der Dinge (IoT) einfach und unkompliziert wäre, würden wir nicht jede Woche hochkarätige Geschichten darüber lesen Router mit exponierten privaten Schlüsseln und zu Hause Sicherheitskameras verletzt. Bei solchen Nachrichten ist es kein Wunder, dass viele Verbraucher immer noch misstrauisch gegenüber Geräten mit Internetverbindung sind. Die Anzahl der IoT-Geräte wird voraussichtlich übersteigen 38 Milliarden im Jahr 2020 (ein fast dreifacher Anstieg seit 2015), und es ist an der Zeit, dass Hersteller und Anbieter sich ernsthaft mit Sicherheit befassen.
SSL.com ist hier, um Ihnen dabei zu helfen! Als öffentlich vertrauenswürdige Zertifizierungsstelle (CA) und Mitglied des CA / Browser-Forums verfügt SSL.com über das umfassende Fachwissen und die bewährte Technologie, die erforderlich sind, um Herstellern dabei zu helfen, ihre IoT- und IIoT-Geräte (Industrial Internet of Things) mit Best-in-Class-Geräten zu sichern Infrastruktur mit öffentlichem Schlüssel (PKI), Automatisierung, Verwaltung und Überwachung.
Wenn Sie Tausende (oder sogar Hunderttausende) von öffentlich oder privat vertrauenswürdigen Personen ausgeben und verwalten müssen X.509 SSL.com bietet Zertifikate für Ihre mit dem Internet verbundenen Geräte und bietet alles, was Sie benötigen.
Beispiel: Sichern eines WLAN-Routers
Zur einfachen Veranschaulichung beschreiben wir ein Szenario mit einem typischen eingebetteten Gerät - einem drahtlosen Heimrouter. Sie wissen wahrscheinlich alles darüber, wie es sein kann, sich bei einem von ihnen anzumelden. Sie tippen so etwas wie http://10.254.255.1
Klicken Sie in Ihrem Browser (wenn Sie sich daran erinnern können) möglicherweise durch eine Sicherheitswarnung und hoffen Sie dann, dass niemand schnüffelt, wenn Sie Ihre Anmeldeinformationen eingeben. Zum Glück können IoT-Hersteller ihren Kunden jetzt mit den von SSL.com angebotenen Tools und Technologien ein wesentlich komfortableres und vor allem sichereres Erlebnis bieten.
In unserem Beispielszenario möchte ein Hersteller seinen Kunden eine sichere Verbindung zur Administrationsoberfläche ihres Routers über ermöglichen HTTPS, nicht HTTP. Das Unternehmen möchte Kunden auch die Verwendung eines leicht zu merkenden Domainnamens ermöglichen (router.example.com
) anstelle der lokalen Standard-IP-Adresse des Geräts (192.168.1.1
). Das SSL /TLS Zertifikat zum Schutz des internen Webservers des Routers muss sein öffentlich vertrauenswürdigoder Benutzer werden in ihren Browsern Sicherheitsfehlermeldungen erhalten. Eine weitere Komplikation ist, dass jedes öffentlich vertrauenswürdige SSL /TLS Das Zertifikat hat bei Ausstellung eine fest codierte Lebensdauer (derzeit effektiv begrenzt durch Browser-Richtlinien bis etwa ein Jahr). Aufgrund dieser Einschränkung muss der Hersteller ein Mittel bereitstellen, mit dem das Sicherheitszertifikat eines Geräts bei Bedarf aus der Ferne ersetzt werden kann. Schließlich möchte der Hersteller all diese Dinge mit minimalen oder keinen Unannehmlichkeiten für seine Kunden tun.
In Zusammenarbeit mit SSL.com kann der Hersteller die folgenden Schritte ausführen, um den internen Webserver jedes Routers mit einem öffentlich vertrauenswürdigen, domänenvalidierten (DV) SSL / zu versehen.TLS Zertifikat:
- Der Hersteller erstellt DNS A Datensätze, die den gewünschten Domainnamen verknüpfen (
router.example.com
) und einen Platzhalter (*.router.example.com
) an die gewählte lokale IP-Adresse (192.168.1.1
). - Der Hersteller demonstriert die Kontrolle über seinen Basisdomänennamen (
example.com
) an SSL.com über eine entsprechende Domain Validation (DV) Methode (in diesem Fall wäre entweder ein E-Mail-Kontakt oder eine CNAME-Suche angemessen). - Verwenden einer von SSL.com ausgestellten, technisch eingeschränkten Ausgabe untergeordnete CA (oder SubCA) (kontaktieren Sie uns Für weitere Informationen darüber, wie Sie Ihre eigene technisch eingeschränkte ausstellende untergeordnete Zertifizierungsstelle erhalten, kann das Unternehmen öffentlich vertrauenswürdiges SSL / ausstellen.TLS Zertifikate für die validierten Router-Domänennamen. Für unser Beispiel bleiben wir dabei
router.example.com
, aber je nach Anwendungsfall kann dies auch ein Platzhalter sein, wie z*.router.example.com
. Der Platzhalter würde die Ausstellung von Zertifikaten für Subdomains wie ermöglichenwww.router.example.com
ormail.router.example.com
. - Während der Herstellung wird jedes Gerät mit einem eindeutigen kryptografischen Schlüsselpaar und öffentlich vertrauenswürdigem DV SSL / ausgestattet.TLS Zertifikatsschutz
router.example.com
. - Wenn ein Kunde das Gerät zum ersten Mal mit dem Internet verbindet, sind zwei Szenarien möglich:
- Das mitgelieferte SSL /TLS Bescheinigung hat nicht seit Herstellung abgelaufen. In diesem Fall kann der Benutzer einfach eine direkte Verbindung zum Bedienfeld des Routers unter herstellen
https://router.example.com/
mit einem Webbrowser und es treten keine Browser-Vertrauensfehler auf. - Das mitgelieferte SSL /TLS Bescheinigung hat seit Herstellung abgelaufen. Ein ablaufendes Zertifikat muss durch ein neu ausgestelltes ersetzt werden. Abhängig von den Funktionen des Geräts und den Einstellungen des Herstellers kann das Gerät jetzt entweder:
- Generieren Sie intern eine neue Schlüsselpaar- und Zertifikatsignierungsanforderung und senden Sie sie zur Signatur an die eingeschränkte SubCA. Die SubCA gibt dann ein signiertes SSL / zurück.TLS Zertifikat.
- Stellen Sie eine Anfrage für ein neues Schlüsselpaar und CSR Dies wird in einem externen Schlüsselverwaltungssystem generiert, von der SubCA signiert und an das Gerät übermittelt.
- Das mitgelieferte SSL /TLS Bescheinigung hat nicht seit Herstellung abgelaufen. In diesem Fall kann der Benutzer einfach eine direkte Verbindung zum Bedienfeld des Routers unter herstellen
- Wenn für das Gerät ein neues Zertifikat benötigt wird, können die Anmeldeinformationen des Benutzers, ein enthaltenes Clientzertifikat und / oder ein Schlüsselbescheinigungsprozess verwendet werden, um das Gerät bei der eingeschränkten SubCA zu authentifizieren.
- Während der Lebensdauer des Geräts ist sein SSL /TLS Das Zertifikat wird in regelmäßigen Abständen vor Ablauf ersetzt. Auf diese Weise erhält der Benutzer während der gesamten Lebensdauer des Geräts einen kontinuierlichen Zugriff über HTTPS.
IoT-Automatisierungsoptionen
SSL.com bietet IoT-Geräteherstellern mehrere leistungsstarke Automatisierungs- und Verwaltungstools für die Arbeit mit ihrem benutzerdefinierten SSL.com CA ausstellen:
- API für SSL-Webdienste (SWS): Automatisieren Sie jeden Aspekt der Zertifikatsausstellung und des Lebenszyklus mit SSL.com REST-konforme API.
- ACME-Protokoll: ACME ist ein etabliertes Standardprotokoll für die Domänenvalidierung und Zertifikatverwaltung mit vielen Open-Source-Client-Implementierungen.
Unabhängig davon, welche Automatisierungstechnologie (oder welcher Technologiemix) für eine bestimmte Situation am besten geeignet ist, haben Hersteller und Anbieter Zugriff auf modernste Tools zur Verwaltung und Überwachung der Ausstellung, des Lebenszyklus und des Widerrufs von Zertifikaten auf ihren Geräten. Jedes neue Iot- und IIoT-Gerät stellt seine eigenen Herausforderungen. SSL.com ist bereit, bereit und in der Lage, mit Herstellern zusammenzuarbeiten, um optimierte Lösungen für die Versorgung ihrer Geräte mit öffentlich oder privat vertrauenswürdigen X.509-Zertifikaten zu erstellen. Wenn es eine Verbindung zum Internet herstellt, können wir Ihnen helfen, es zu sichern!