Αυτές τις μέρες, είναι συνηθισμένο να βλέπετε ειδήσεις σχετικά με ανασφαλείς πρακτικές Internet of Things (IoT) όπως ιδιωτικά κλειδιά ενσωματωμένα στο firmware της συσκευής με δυνατότητα λήψης και άμεσα διαθέσιμο στους εισβολείς. Οι δυνητικοί πελάτες IoT και IIoT (Industrial Internet of Things) δικαίως ανησυχούν για την ασφάλεια, αλλά δεν πρέπει να είναι έτσι!
Με ένα προσαρμοσμένο, με δυνατότητα ACME εκδίδοντας ΑΠ (επίσης γνωστό ως υφιστάμενη ΑΠ or Υποκατηγορία) από SSL.com, οι προμηθευτές IoT και IIoT μπορούν εύκολα να διαχειριστούν και να αυτοματοποιήσουν την επικύρωση, την εγκατάσταση, την ανανέωση και την ανάκληση SSL /TLS πιστοποιητικά σε συσκευές με δυνατότητα ACME. Με το ACME, τα ιδιωτικά κλειδιά θα δημιουργηθούν με ασφάλεια και θα αποθηκευτούν στην ίδια τη συσκευή, εξαλείφοντας κάθε ανάγκη για ασφαλείς πρακτικές χειρισμού κλειδιών.
Τι είναι το ACME και πώς μπορεί να λειτουργήσει με το IoT;
Περιβάλλον αυτοματοποιημένης διαχείρισης πιστοποιητικών (ACME) είναι ένα τυπικό πρωτόκολλο για αυτόματη επικύρωση τομέα και εγκατάσταση πιστοποιητικών X.509, τεκμηριωμένα σε IETF RFC 8555. Ως καλά τεκμηριωμένο πρότυπο με πολλούς ανοιχτού κώδικα υλοποιήσεις πελατών, Η ACME προσφέρει στους πωλητές IoT έναν ανώδυνο τρόπο για την αυτόματη παροχή συσκευών όπως μόντεμ και δρομολογητών με δημόσια ή ιδιωτικά αξιόπιστα πιστοποιητικά τελικής οντότητας και την ενημέρωση αυτών των πιστοποιητικών με την πάροδο του χρόνου.
Το SSL.com προσφέρει τώρα στους εταιρικούς πελάτες μας τη δυνατότητα να έχουν τη διασύνδεση των συσκευών τους απευθείας με ένα ειδικό, διαχειριζόμενο ACME εκδίδοντας ΑΠ, προσφέροντας τα ακόλουθα οφέλη:
- Αυτόματη επικύρωση τομέα και ανανέωση πιστοποιητικού.
- Συνεχής SSL /TLS η κάλυψη μειώνει τους διοικητικούς πονοκεφάλους.
- Αυξάνει την ασφάλεια μέσω μικρότερης διάρκειας ζωής πιστοποιητικού τελικής οντότητας.
- Διαχείριση ανάκλησης πιστοποιητικού
- Καθιερωμένο, καλά τεκμηριωμένο πρότυπο πρωτόκολλο IETF.
- Διατίθεται δημόσια ή ιδιωτική εμπιστοσύνη.
Πώς λειτουργεί το ACME
Όταν μια συσκευή IoT με δυνατότητα ACME είναι συνδεδεμένη στο Διαδίκτυο και πρέπει να ζητήσει έκδοση ή ανανέωση πιστοποιητικού, το ενσωματωμένο λογισμικό πελάτη ACME δημιουργεί ένα ζεύγος κρυπτογραφικών κλειδιών και αίτημα υπογραφής πιστοποιητικού (CSR) στη συσκευή. ο CSR αποστέλλεται σε μια τεχνικά περιορισμένη αρχή έκδοσης, η οποία επιστρέφει ένα υπογεγραμμένο πιστοποιητικό. Στη συνέχεια, ο πελάτης ACME χειρίζεται την εγκατάσταση πιστοποιητικών.
Το Φόρουμ CA / Browser Απαιτήσεις βασικής γραμμής καθορίζουν ένα Τεχνικά περιορισμένο πιστοποιητικό CA as
Ένα πιστοποιητικό δευτερεύουσας CA που χρησιμοποιεί έναν συνδυασμό ρυθμίσεων εκτεταμένης χρήσης κλειδιού και ρυθμίσεων περιορισμού ονόματος για τον περιορισμό του πεδίου εντός του οποίου το πιστοποιητικό δευτερεύουσας αρχής CA μπορεί να εκδώσει συνδρομητές ή πρόσθετα πιστοποιητικά δευτερεύουσας αρχής.
Για παράδειγμα, μια φιλοξενούμενη έκδοση έκδοσης έκδοσης θα μπορούσε τεχνικά να περιοριστεί για την έκδοση SSL τελικής οντότητας /TLS πιστοποιητικά για ένα περιορισμένο σύνολο ονομάτων τομέα που ανήκουν στον προμηθευτή IoT για χρήση στους ασύρματους δρομολογητές του. Στη συνέχεια, ο δρομολογητής θα ζητήσει ένα υπογεγραμμένο πιστοποιητικό που να συσχετίζει ένα όνομα τομέα όπως config.company.com στη διεύθυνση IP του δρομολογητή στο τοπικό του δίκτυο. Το πιστοποιητικό επιτρέπει στους χρήστες να κάνουν συνδέσεις HTTPS με το δρομολογητή με αυτήν τη διεύθυνση URL αντί να πρέπει να εισάγουν μια διεύθυνση IP (π.χ. 192.168.1.1). Το πιο σημαντικό για την ασφάλεια, ένα μοναδικό ιδιωτικό κλειδί δημιουργείται και αποθηκεύεται με ασφάλεια σε κάθε συσκευή και μπορεί να αντικατασταθεί ανά πάσα στιγμή.
