Nykyään on yleistä nähdä uutisia esimerkiksi Internetin esineiden turvattomuudesta (IoT) ladattavaan laiteohjelmistoon upotetut yksityiset avaimet ja hyökkääjien helposti saatavilla. Mahdolliset IoT: n ja IIoT: n (teollisen esineiden internet) asiakkaat ovat oikeutetusti huolissaan turvallisuudesta, mutta sen ei tarvitse olla niin!
Muokatulla, ACME-yhteensopivalla myöntää CA (tunnetaan myös nimellä alainen CA or SubCA) SSL.com: n, IoT: n ja IIoT: n toimittajilta, voivat helposti hallita ja automatisoida SSL /TLS sertifikaatit ACME-yhteensopivissa laitteissa. ACME: n avulla yksityiset avaimet luodaan turvallisesti ja tallennetaan itse laitteeseen, jolloin ei tarvita turvattomia avainten käsittelymenetelmiä.
Mikä on ACME ja miten se voi toimia IoT: n kanssa?
Automaattinen sertifikaattien hallintaympäristö (ACME) on vakioprotokolla X.509 - varmenteiden automatisoidulle validoinnille ja asentamiselle, dokumentoitu IETF RFC 8555. Hyvin dokumentoiduna standardina, jossa on monia avoimen lähdekoodin tuotteita asiakkaan toteutukset, ACME tarjoaa Internet-tavarantoimittajille kivuttoman tavan varustaa laitteet, kuten modeemit ja reitittimet, julkisesti tai yksityisesti luotettavilla loppukäyttäjäsertifikaateilla ja pitää nämä varmenteet ajan tasalla.
SSL.com tarjoaa nyt yritysasiakkaillemme mahdollisuuden saada laitteidensa käyttöliittymä suoraan omistettuun, hallittuun ACME-yhteensopivaan myöntää CA, joka tarjoaa seuraavat edut:
- Automaattinen verkkotunnuksen validointi ja varmenteen uusiminen.
- Jatkuva SSL /TLS kattavuus vähentää hallinnollisia päänsärkyjä.
- Lisää turvallisuutta lyhyemmän loppu-kokonaisuuden varmenteen käyttöiän avulla.
- Hallinnoi varmenteiden peruuttamista
- Perustettu, hyvin dokumentoitu IETF-standardiprotokolla.
- Saatavilla julkinen tai yksityinen luottamus.
Kuinka ACME toimii
Kun ACME-yhteensopiva Internet-yhteys on kytketty Internetiin ja sen on pyydettävä varmenteen myöntämistä tai uusimista, sulautettu ACME-asiakasohjelmisto luo salausavainparin ja sertifikaatin allekirjoituspyyntö (CSR) laitteessa. CSR lähetetään teknisesti rajoitetulle myöntävälle varmentajalle, joka palauttaa allekirjoitetun varmenteen. ACME-asiakas käsittelee sitten varmenteen asennuksen.
CA / selainfoorumit Perusvaatimukset define Teknisesti rajoitettu CA-sertifikaatti as
Ala-alaisen CA-varmenne, joka käyttää laajennettujen avainkäyttöasetusten ja nimirajoitusasetusten yhdistelmää rajoittaakseen alaa, jolla alaisen CA-varmenne voi antaa tilaaja- tai muita ala-alaisia CA-varmenteita.
Esimerkiksi isännöivä liikkeeseenlaskija voi olla teknisesti pakko antaa loppukäyttäjän SSL /TLS sertifikaatit rajoitetulle verkkotunnusjoukolle, jonka omistaa IoT-toimittaja, käytettäväksi sen langattomissa reitittimissä. Reititin pyytää sitten allekirjoitettua varmennetta, joka yhdistää verkkotunnuksen kuten config.company.com reitittimen IP-osoitteeseen sen lähiverkossa. Sertifikaatin avulla käyttäjät voivat muodostaa HTTPS-yhteydet reitittimeen tällä URL-osoitteella sen sijaan, että heidän tarvitsisi antaa IP-osoitetta (esim 192.168.1.1). Tärkeintä turvallisuudelle: yksilöllinen yksityinen avain luodaan ja tallennetaan turvallisesti jokaisessa laitteessa ja se voidaan korvata milloin tahansa.
