Si la sécurisation de l'Internet des objets (IoT) était simple et directe, nous ne lirions pas chaque semaine des articles très médiatisés sur routeurs avec des clés privées exposées et violé les caméras de sécurité à domicile. Avec de telles nouvelles, il n'est pas étonnant que de nombreux consommateurs se méfient encore des appareils connectés à Internet. Le nombre d'appareils IoT devrait atteindre plus de 38 milliards en 2020 (près de trois fois plus que depuis 2015), et le moment est venu pour les fabricants et les vendeurs de prendre la sécurité au sérieux.
SSL.com est là pour vous aider à y parvenir! En tant qu'autorité de certification (CA) de confiance publique et membre du CA / Browser Forum, SSL.com possède l'expertise approfondie et la technologie éprouvée nécessaires pour aider les fabricants à sécuriser leurs appareils IoT et IIoT (Industrial Internet of Things) avec le meilleur de sa catégorie. infrastructure à clé publique (PKI), l'automatisation, la gestion et la surveillance.
Si vous avez besoin d'émettre et de gérer des milliers (voire des centaines de milliers) de produits de confiance publics ou privés X.509 certificats pour vos appareils connectés à Internet, SSL.com a tout ce dont vous avez besoin.
Exemple: sécurisation d'un routeur sans fil
À titre d'illustration simple, nous décrirons un scénario mettant en vedette un périphérique intégré typique, un routeur sans fil domestique. Vous savez probablement tout sur la connexion à l'un de ceux-ci; vous tapez quelque chose comme http://10.254.255.1
dans votre navigateur (si vous vous en souvenez), cliquez peut-être sur un avertissement de sécurité, puis espérez que personne ne fouille lorsque vous entrez vos informations de connexion. Heureusement, les fabricants d'IoT peuvent désormais offrir à leurs clients une expérience beaucoup plus pratique - et surtout sécurisée - grâce aux outils et à la technologie proposés par SSL.com.
Dans notre exemple de scénario, un fabricant souhaite permettre à ses clients de se connecter en toute sécurité à l'interface d'administration de leur routeur via HTTPS, pas HTTP. La société souhaite également permettre aux clients d'utiliser un nom de domaine facile à mémoriser (router.example.com
), plutôt que l'adresse IP locale par défaut de l'appareil (192.168.1.1
). Le SSL /TLS le certificat protégeant le serveur Web interne du routeur doit être confiance du public, ou les utilisateurs seront confrontés à des messages d'erreur de sécurité dans leurs navigateurs. Une autre complication est que chaque SSL /TLS certificat a une durée de vie codée en dur lors de sa délivrance (actuellement effectivement limité par politiques du navigateur à environ un an). En raison de cette limitation, le fabricant doit inclure un moyen de remplacer à distance le certificat de sécurité d'un appareil si nécessaire. Enfin, le fabricant aimerait faire toutes ces choses avec un inconvénient minime ou nul pour ses clients.
En travaillant avec SSL.com, le fabricant peut prendre les mesures suivantes pour provisionner le serveur Web interne de chaque routeur avec un SSL /TLS certificat:
- Le fabricant crée DNS A enregistrements associant le nom de domaine souhaité (
router.example.com
) et un caractère générique (*.router.example.com
) à l'adresse IP locale choisie (192.168.1.1
). - Le fabricant démontre le contrôle de son nom de domaine de base (
example.com
) à SSL.com via un validation de domaine (DV) (dans ce cas, un contact par e-mail ou une recherche CNAME serait approprié). - Utilisation d'une émission techniquement contrainte émise par SSL.com CA subordonnée (ou SubCA) (contactez nous pour plus d'informations sur la façon d'obtenir votre propre autorité de certification subordonnée émettrice techniquement contrainte), la société est en mesure d'émettre des SSL /TLS certificats pour ses noms de domaine de routeur validés. Pour notre exemple, nous nous en tiendrons à
router.example.com
, mais selon le cas d'utilisation, il peut également s'agir d'un caractère générique, tel que*.router.example.com
. Le caractère générique permettrait la délivrance de certificats couvrant des sous-domaines commewww.router.example.com
ormail.router.example.com
. - Lors de la fabrication, chaque appareil est doté d'une paire de clés cryptographiques unique et d'un DV SSL /TLS certificat de protection
router.example.com
. - Lorsqu'un client connecte pour la première fois l'appareil à Internet, deux scénarios sont possibles:
- Le SSL /TLS certificat N'a pas expiré depuis la fabrication. Dans ce cas, l'utilisateur peut simplement se connecter directement au panneau de contrôle du routeur à
https://router.example.com/
avec un navigateur Web et ne rencontrera aucune erreur de confiance du navigateur. - Le SSL /TLS certificat a expiré depuis la fabrication. Un certificat expirant doit être remplacé par un nouveau. En fonction des capacités de l'appareil et des préférences du fabricant, l'appareil peut désormais:
- Générez une nouvelle paire de clés et une nouvelle demande de signature de certificat en interne, puis soumettez-la à leur SubCA contrainte pour signature. Le SubCA renverra alors un SSL /TLS certificat.
- Émettez une demande pour une nouvelle paire de clés et CSR qui sera généré dans un système de gestion de clés externe, signé par la SubCA, et livré à l'appareil.
- Le SSL /TLS certificat N'a pas expiré depuis la fabrication. Dans ce cas, l'utilisateur peut simplement se connecter directement au panneau de contrôle du routeur à
- Lorsqu'un nouveau certificat est nécessaire pour l'appareil, les informations de connexion de l'utilisateur, un certificat client inclus et / ou un processus d'attestation de clé peuvent être utilisés pour authentifier l'appareil avec le SubCA contraint.
- Pendant la durée de vie de l'appareil, son SSL /TLS le certificat sera remplacé avant expiration, à intervalles réguliers. De cette façon, l'utilisateur bénéficiera d'un accès continu via HTTPS pendant toute la durée de vie de l'appareil.
Options d'automatisation IoT
SSL.com offre aux fabricants d'appareils IoT plusieurs outils puissants d'automatisation et de gestion pour travailler avec leur SSL.com personnalisé émission de l'AC:
- API des services Web SSL (SWS): Automatisez tous les aspects de l'émission et du cycle de vie des certificats avec SSL.com API RESTful.
- Protocole ACME: ACME est un protocole standard établi pour la validation de domaine et la gestion des certificats avec de nombreuses implémentations client open source.
Et quelle que soit la technologie d'automatisation (ou la combinaison de technologies) la plus appropriée pour une situation donnée, les fabricants et les fournisseurs auront accès à des outils de pointe pour gérer et surveiller l'émission, le cycle de vie et la révocation des certificats sur leurs appareils. Chaque nouvel appareil Iot et IIoT présente ses propres défis uniques, et SSL.com est prêt, disposé et capable de travailler avec les fabricants pour créer des solutions optimisées pour fournir à leurs appareils des certificats X.509 de confiance publique ou privée. S'il se connecte à Internet, nous pouvons vous aider à le sécuriser!