Si asegurar el Internet de las cosas (IoT) fuera simple y directo, no estaríamos leyendo historias de alto perfil cada semana sobre enrutadores con claves privadas expuestas y cámaras de seguridad para el hogar violadas. Con noticias como esta, no es de extrañar que muchos consumidores todavía sospechen de los dispositivos conectados a Internet. Se espera que la cantidad de dispositivos de IoT supere Más de 38 mil millones en 2020 (un aumento de casi el triple desde 2015), y ha llegado el momento de que los fabricantes y vendedores se tomen en serio la seguridad.
¡SSL.com está aquí para ayudarlo a lograrlo! Como autoridad de certificación (CA) de confianza pública y miembro del CA / Browser Forum, SSL.com tiene la amplia experiencia y la tecnología probada necesaria para ayudar a los fabricantes a proteger sus dispositivos IoT e IIoT (Internet industrial de las cosas) con los mejores de su clase. Infraestructura de Clave Pública (PKI), automatización, gestión y seguimiento.
Si necesita emitir y administrar miles (o incluso cientos de miles) de documentos de confianza pública o privada X.509 certificados para sus dispositivos conectados a Internet, SSL.com tiene todo lo que necesita.
Ejemplo: asegurar un enrutador inalámbrico
A modo de ilustración simple, describiremos un escenario que presenta un dispositivo integrado típico: un enrutador inalámbrico doméstico. Probablemente sepa todo sobre lo que puede ser iniciar sesión en uno de esos; escribes algo como http://10.254.255.1
en su navegador (si puede recordarlo), tal vez haga clic en una advertencia de seguridad y luego espere que nadie esté husmeando cuando ingrese sus credenciales de inicio de sesión. Afortunadamente, los fabricantes de IoT ahora pueden ofrecer a sus clientes una experiencia mucho más conveniente y, lo que es más importante, segura, a través de las herramientas y la tecnología que ofrece SSL.com.
En nuestro escenario de ejemplo, un fabricante quiere permitir que sus clientes se conecten a la interfaz de administración de su enrutador de forma segura a través de HTTPS, no HTTP. La compañía también quiere permitir que los clientes usen un nombre de dominio fácil de recordar (router.example.com
), en lugar de la dirección IP local predeterminada del dispositivo (192.168.1.1
). El SSL /TLS certificado que protege el servidor web interno del enrutador debe ser de confianza pública, o los usuarios enfrentarán mensajes de error de seguridad en sus navegadores. Otra complicación más es que cada SSL /TLS el certificado tiene una vida útil codificada al momento de su emisión (actualmente limitado de manera efectiva por políticas del navegador a aproximadamente un año). Debido a esta limitación, el fabricante debe incluir un medio para reemplazar de forma remota el certificado de seguridad de un dispositivo cuando sea necesario. Finalmente, al fabricante le gustaría hacer todas estas cosas con un mínimo o ningún inconveniente para sus clientes.
Al trabajar con SSL.com, el fabricante puede seguir los siguientes pasos para proporcionar al servidor web interno de cada enrutador un SSL / DV validado de dominio público y confiable.TLS certificado:
- El fabricante crea DNS A registros que asocian el nombre de dominio deseado (
router.example.com
) y un comodín (*.router.example.com
) a la dirección IP local elegida (192.168.1.1
). - El fabricante demuestra el control de su nombre de dominio base (
example.com
) a SSL.com a través de un validación de dominio (DV) método (en este caso, ya sea un contacto por correo electrónico o una búsqueda de CNAME sería apropiado). - Uso de una emisión técnicamente restringida emitida por SSL.com CA subordinada (o SubCA) (ponerte en contacto con nosotros para obtener más información sobre cómo obtener su propia CA subordinada emisora técnicamente restringida), la empresa puede emitir SSL /TLS certificados para sus nombres de dominio de enrutador validados. Para nuestro ejemplo nos quedaremos con
router.example.com
, pero dependiendo del caso de uso, esto también podría ser un comodín, como*.router.example.com
. El comodín permitiría la emisión de certificados que cubran subdominios comowww.router.example.com
ormail.router.example.com
. - Durante la fabricación, cada dispositivo se aprovisiona con un par de claves criptográficas único y DV SSL /TLS certificado de protección
router.example.com
. - Cuando un cliente conecta por primera vez el dispositivo a Internet, son posibles dos escenarios:
- El SSL incluido /TLS certificado no tiene expiró desde su fabricación. En este caso, el usuario puede simplemente conectarse directamente al panel de control del enrutador en
https://router.example.com/
con un navegador web, y no experimentará ningún error de confianza del navegador. - El SSL incluido /TLS certificado tiene expiró desde su fabricación. Un certificado que vence debe ser reemplazado por uno recién emitido. Según las capacidades del dispositivo y las preferencias del fabricante, el dispositivo ahora puede:
- Genere un nuevo par de claves y una solicitud de firma de certificado internamente, luego envíelo a su SubCA restringido para su firma. El SubCA luego devolverá un SSL /TLS certificado.
- Emita una solicitud para un nuevo par de claves y CSR que se generará en un sistema externo de administración de claves, firmado por la SubCA y entregado al dispositivo.
- El SSL incluido /TLS certificado no tiene expiró desde su fabricación. En este caso, el usuario puede simplemente conectarse directamente al panel de control del enrutador en
- Cuando se necesita un nuevo certificado para el dispositivo, se pueden utilizar las credenciales de inicio de sesión del usuario, un certificado de cliente incluido y / o el proceso de atestación de claves para autenticar el dispositivo con la SubCA restringida.
- Durante la vida útil del dispositivo, su SSL /TLS El certificado será reemplazado antes del vencimiento, a intervalos regulares. De esta forma, el usuario disfrutará de un acceso continuo a través de HTTPS durante toda la vida útil del dispositivo.
Opciones de automatización de IoT
SSL.com ofrece a los fabricantes de dispositivos IoT múltiples potentes herramientas de automatización y administración para trabajar con su SSL.com personalizado emisor de CA:
- API de servicios web SSL (SWS): Automatice todos los aspectos de la emisión de certificados y el ciclo de vida con SSL.com API RESTful.
- Protocolo ACME: CUMBRE es un protocolo estándar establecido para la validación de dominios y la gestión de certificados con muchas implementaciones de cliente de código abierto.
Y sin importar qué tecnología de automatización (o combinación de tecnologías) sea más apropiada para una situación determinada, los fabricantes y proveedores tendrán acceso a herramientas de última generación para administrar y monitorear la emisión, el ciclo de vida y la revocación de certificados en sus dispositivos. Cada nuevo dispositivo Iot e IIoT presenta sus propios desafíos únicos, y SSL.com está listo, dispuesto y capaz de trabajar con los fabricantes para crear soluciones optimizadas para suministrar a sus dispositivos certificados X.509 de confianza pública o privada. Si se conecta a Internet, ¡podemos ayudarlo a protegerlo!