SSL /TLS Αυτοματοποίηση για το Διαδίκτυο των πραγμάτων (IoT)

Εάν η εξασφάλιση του Διαδικτύου των πραγμάτων (IoT) ήταν απλή και απλή, δεν θα διαβάζαμε ιστορίες υψηλού προφίλ κάθε εβδομάδα για δρομολογητές με εκτεθειμένα ιδιωτικά κλειδιά και παραβιάστηκαν οι κάμερες ασφαλείας στο σπίτι. Με τέτοια νέα, δεν αποτελεί έκπληξη το γεγονός ότι πολλοί καταναλωτές εξακολουθούν να είναι ύποπτοι για συσκευές συνδεδεμένες στο Διαδίκτυο. Αναμένεται να φτάσει ο αριθμός των συσκευών IoT 38 δις το 2020 (σχεδόν τριπλή αύξηση μόλις από το 2015) και ήρθε η ώρα οι κατασκευαστές και οι πωλητές να πάρουν σοβαρά υπόψη την ασφάλεια.

Το SSL.com είναι εδώ για να σας βοηθήσει να το κάνετε! Ως δημόσια αξιόπιστη αρχή έκδοσης πιστοποιητικών (CA) και μέλος του CA / Browser Forum, το SSL.com διαθέτει τη βαθιά τεχνογνωσία και αποδεδειγμένη τεχνολογία που απαιτείται για να βοηθήσει τους κατασκευαστές να διασφαλίσουν τις συσκευές IoT και IIoT (Industrial Internet of Things) με τις καλύτερες στην κατηγορία υποδομή δημόσιου κλειδιού (PKI), αυτοματοποίηση, διαχείριση και παρακολούθηση.

Εάν πρέπει να εκδώσετε και να διαχειριστείτε χιλιάδες (ή ακόμα και εκατοντάδες χιλιάδες) εμπιστευτικά δημόσια ή ιδιωτικά X.509 πιστοποιητικά για τις συνδεδεμένες στο Διαδίκτυο συσκευές σας, το SSL.com διαθέτει όλα όσα χρειάζεστε.

Παράδειγμα: Εξασφάλιση ασύρματου δρομολογητή

Ως απλή απεικόνιση, θα περιγράψουμε ένα σενάριο που περιλαμβάνει μια τυπική ενσωματωμένη συσκευή - έναν οικιακό ασύρματο δρομολογητή. Πιθανότατα γνωρίζετε τα πάντα για το πώς μπορεί να συνδεθείτε σε ένα από αυτά. πληκτρολογείτε κάτι σαν http://10.254.255.1 στο πρόγραμμα περιήγησής σας (αν μπορείτε να το θυμηθείτε), ίσως κάντε κλικ σε μια προειδοποίηση ασφαλείας και, στη συνέχεια, ελπίζουμε ότι κανείς δεν κατασκοπεύει όταν εισάγετε τα διαπιστευτήρια σύνδεσης. Ευτυχώς, οι κατασκευαστές IoT μπορούν πλέον να προσφέρουν στους πελάτες τους μια πολύ πιο βολική - και πιο σημαντικό, ασφαλής - εμπειρία μέσω των εργαλείων και της τεχνολογίας που προσφέρει το SSL.com.

Στο παράδειγμα σεναρίου μας, ένας κατασκευαστής θέλει να επιτρέψει στους πελάτες του να συνδεθούν με ασφάλεια στη διεπαφή διαχειριστή του δρομολογητή τους μέσω HTTPS, όχι HTTP. Η εταιρεία θέλει επίσης να επιτρέψει στους πελάτες να χρησιμοποιούν ένα εύκολο στη μνήμη όνομα τομέα (router.example.com), αντί για την προεπιλεγμένη τοπική διεύθυνση IP της συσκευής (192.168.1.1). Το SSL /TLS πρέπει να είναι πιστοποιητικό προστασίας του εσωτερικού διακομιστή ιστού του δρομολογητή δημόσια αξιόπιστηή οι χρήστες θα αντιμετωπίσουν μηνύματα σφάλματος ασφαλείας στα προγράμματα περιήγησής τους. Ακόμα μια άλλη επιπλοκή είναι ότι κάθε αξιόπιστο SSL /TLS Το πιστοποιητικό έχει σκληρή κωδικοποίηση κατά την έκδοση (επί του παρόντος ουσιαστικά περιορίζεται από πολιτικές προγράμματος περιήγησης σε περίπου ένα χρόνο). Λόγω αυτού του περιορισμού, ο κατασκευαστής πρέπει να περιλαμβάνει μέσα για την απομακρυσμένη αντικατάσταση του πιστοποιητικού ασφαλείας μιας συσκευής όταν είναι απαραίτητο. Τέλος, ο κατασκευαστής θα ήθελε να κάνει όλα αυτά τα πράγματα με ελάχιστη ή καθόλου ενόχληση στους πελάτες του.

Σε συνεργασία με το SSL.com, ο κατασκευαστής μπορεί να λάβει τα ακόλουθα βήματα για να παρέχει στον εσωτερικό διακομιστή ιστού κάθε δρομολογητή έναν δημόσιο αξιόπιστο, επικυρωμένο τομέα (DV) SSL /TLS πιστοποιητικό:

1. Ο κατασκευαστής δημιουργεί DNS A εγγραφές που συσχετίζουν το επιθυμητό όνομα τομέα (router.example.com) και μπαλαντέρ (*.router.example.com) στην επιλεγμένη τοπική διεύθυνση IP (192.168.1.1).
2. Ο κατασκευαστής επιδεικνύει τον έλεγχο του βασικού του ονόματος τομέα (example.com) στο SSL.com μέσω ενός ισχύοντος επικύρωση τομέα (DV) μέθοδος (σε αυτήν την περίπτωση, θα ήταν κατάλληλη είτε η επαφή μέσω email είτε η αναζήτηση CNAME).
3. Χρήση τεχνικής περιορισμένης έκδοσης που έχει εκδοθεί από SSL.com υφιστάμενη ΑΠ (ή SubCA) (επικοινωνηστε μαζί μας για περισσότερες πληροφορίες σχετικά με το πώς να αποκτήσετε τη δική σας τεχνικά περιορισμένη έκδοση έκδοσης δευτερεύουσας αρχής), η εταιρεία είναι σε θέση να εκδώσει δημόσια αξιόπιστη SSL /TLS πιστοποιητικά για τα επικυρωμένα ονόματα τομέα του δρομολογητή. Για το παράδειγμά μας θα εμμείνουμε router.example.com, αλλά ανάλογα με την περίπτωση χρήσης, αυτό θα μπορούσε επίσης να είναι μπαλαντέρ, όπως *.router.example.com. Το μπαλαντέρ θα επέτρεπε την έκδοση πιστοποιητικών που καλύπτουν υποτομέα όπως www.router.example.com or mail.router.example.com.
4. Κατά τη διάρκεια της κατασκευής, σε κάθε συσκευή παρέχεται ένα μοναδικό ζεύγος κρυπτογραφικών κλειδιών και δημόσια αξιόπιστη DV SSL /TLS πιστοποιητικό προστασίας router.example.com.
5. Όταν ένας πελάτης συνδέει για πρώτη φορά τη συσκευή στο Διαδίκτυο, είναι πιθανά δύο σενάρια:
   1. Το συμπεριλαμβανόμενο SSL /TLS πιστοποιητικό δεν έχει έληξε από την κατασκευή. Σε αυτήν την περίπτωση ο χρήστης μπορεί απλώς να συνδεθεί απευθείας στον πίνακα ελέγχου του δρομολογητή στο https://router.example.com/ με πρόγραμμα περιήγησης ιστού και δεν θα αντιμετωπίσει σφάλματα εμπιστοσύνης του προγράμματος περιήγησης.
   2. Το συμπεριλαμβανόμενο SSL /TLS πιστοποιητικό έχει έληξε από την κατασκευή. Το πιστοποιητικό που λήγει πρέπει να αντικατασταθεί από νέο πιστοποιητικό. Ανάλογα με τις δυνατότητες της συσκευής και τις προτιμήσεις του κατασκευαστή, η συσκευή μπορεί τώρα είτε:
      1. Δημιουργήστε ένα νέο ζεύγος κλειδιών και ένα αίτημα υπογραφής πιστοποιητικού εσωτερικά και, στη συνέχεια, υποβάλετέ το στο περιορισμένο SubCA τους για υπογραφή. Στη συνέχεια, το SubCA θα επιστρέψει ένα υπογεγραμμένο SSL /TLS πιστοποιητικό.
      2. Εκδώστε ένα αίτημα για ένα νέο ζεύγος κλειδιών και CSR που θα δημιουργηθεί σε ένα εξωτερικό σύστημα διαχείρισης κλειδιών, υπογεγραμμένο από το SubCA και θα παραδοθεί στη συσκευή.
6. Όταν απαιτείται ένα νέο πιστοποιητικό για τη συσκευή, μπορούν να χρησιμοποιηθούν τα διαπιστευτήρια σύνδεσης του χρήστη, ένα συμπεριλαμβανόμενο πιστοποιητικό πελάτη ή / και μια διαδικασία πιστοποίησης κλειδιού για τον έλεγχο ταυτότητας της συσκευής με το περιορισμένο SubCA.
7. Κατά τη διάρκεια ζωής της συσκευής, το SSL /TLS το πιστοποιητικό θα αντικατασταθεί πριν από τη λήξη, σε τακτά χρονικά διαστήματα. Με αυτόν τον τρόπο ο χρήστης θα έχει συνεχή πρόσβαση μέσω HTTPS για τη διάρκεια ζωής της συσκευής.

Επιλογές αυτοματισμού IoT

Το SSL.com προσφέρει στους κατασκευαστές συσκευών IoT πολλά ισχυρά εργαλεία αυτοματισμού και διαχείρισης για εργασία με το προσαρμοσμένο SSL.com τους εκδίδοντας ΑΠ:

• API SSL Web Services (SWS): Αυτοματοποιήστε κάθε πτυχή της έκδοσης πιστοποιητικών και κύκλου ζωής με SSL.com RESTful API.
• Πρωτόκολλο ACME: ΑΚΜΉ είναι ένα καθιερωμένο, τυπικό πρωτόκολλο επικύρωσης τομέα και διαχείρισης πιστοποιητικών με πολλές εφαρμογές πελάτη ανοιχτού κώδικα.

Και ανεξάρτητα από το ποια τεχνολογία αυτοματισμού (ή συνδυασμός τεχνολογιών) είναι πιο κατάλληλη για μια δεδομένη κατάσταση, οι κατασκευαστές και οι πωλητές θα έχουν πρόσβαση σε υπερσύγχρονα εργαλεία για τη διαχείριση και παρακολούθηση της έκδοσης πιστοποιητικών, του κύκλου ζωής και της ανάκλησης στις συσκευές τους. Κάθε νέα συσκευή Iot και IIoT παρουσιάζει τις δικές της μοναδικές προκλήσεις και το SSL.com είναι έτοιμο, πρόθυμο και ικανό να συνεργαστεί με κατασκευαστές για τη δημιουργία βελτιστοποιημένων λύσεων για την παροχή των συσκευών τους με δημόσια ή ιδιωτικά αξιόπιστα πιστοποιητικά X.509. Εάν συνδεθεί στο Διαδίκτυο, μπορούμε να σας βοηθήσουμε να το ασφαλίσετε!