Manapság gyakori, hogy híreket látnak a biztonságos tárgyak internete (IoT) gyakorlatáról, mint például letölthető eszköz firmware-jébe ágyazott magánkulcsok és a támadók számára könnyen elérhető. A potenciális IoT és IIoT (ipari tárgyak internete) ügyfeleket joggal aggasztja a biztonság, de ennek nem kell így lennie!
Egyéni, ACME-kompatibilis kiállító CA (más néven a alárendelt CA or SubCA) az SSL-től, az IoT és az IIoT gyártóktól könnyen kezelhetik és automatizálhatják az SSL érvényesítését, telepítését, megújítását és visszavonását.TLS tanúsítványok ACME-kompatibilis eszközökön. Az ACME segítségével a magánkulcsokat biztonságosan generálják és tárolják maguk az eszközök, kiküszöbölve a bizonytalan kulcskezelési gyakorlatok szükségességét.
Mi az ACME és hogyan lehet működni az IoT-vel?
Automatizált tanúsítványkezelő környezet (ACME) egy szabványos protokoll az X.509 tanúsítványok automatikus domain validálására és telepítésére, dokumentálva: IETF RFC 8555. Jól dokumentált szabvány, sok nyílt forráskódú kliens implementációk, Az ACME az IoT gyártóinak fájdalommentes módszert kínál arra, hogy az eszközöket, például a modemeket és az útválasztókat automatikusan ellátja nyilvános vagy magántulajdonban megbízható vég entitás tanúsítvánnyal, és ezeket a tanúsítványokat idővel frissítse.
Az SSL.com most vállalati ügyfeleinknek azt a lehetőséget kínálja, hogy eszközeik közvetlenül egy dedikált, felügyelt ACME-kompatibilis felületen működjenek kiállító CA, amely a következő előnyöket kínálja:
- Automatikus domain érvényesítés és tanúsítvány megújítás.
- Folyamatos SSL /TLS lefedettség csökkenti az adminisztratív fejfájást.
- Növeli a biztonságot a végső entitás tanúsítványának rövidebb élettartama révén.
- Kezelje a tanúsítvány visszavonását
- Bevezetett, jól dokumentált IETF standard protokoll.
- Rendelkezésre áll állami vagy magánbizalom.
Hogyan működik az ACME?
Amikor egy ACME-kompatibilis IoT-eszköz csatlakozik az internethez, és tanúsítvány kiadását vagy megújítását kell kérnie, a beágyazott ACME-kliens szoftver kriptográfiai kulcspárt hoz létre, és igazolás aláírási igény (CSR) a készüléken. A CSR egy technikailag korlátozott kiállító hitelesítésszolgáltatónak küldi el, amely aláírt tanúsítványt ad vissza. Az ACME kliens ezután kezeli a tanúsítványok telepítését.
A CA / Böngésző fórumok Alapvető követelmények határozza meg a Technikailag korlátozott CA tanúsítvány as
Alárendelt CA tanúsítvány, amely a kiterjesztett kulcshasználat-beállítások és a névkontroll-beállítások kombinációját használja annak korlátozására, hogy az alárendelt CA-tanúsítvány előfizetői vagy további alárendelt CA-tanúsítványokat adhat ki.
Például egy hosztolt kibocsátó hitelesítésszolgáltató technikailag korlátozható a végső entitás SSL /TLS az IoT-gyártó tulajdonában lévő korlátozott tartománynév-tanúsítványok vezeték nélküli útválasztóin történő használatra. Az útválasztó ezután aláírt tanúsítványt kér, amelyhez hasonló domain nevet társít config.company.com az útválasztó IP-címére a helyi hálózatán. A tanúsítvány lehetővé teszi a felhasználók számára, hogy HTTPS-kapcsolatokat hozzanak létre az útválasztóval ezzel az URL-címmel, ahelyett, hogy IP-címet kellene megadniuk (pl 192.168.1.1). A biztonság szempontjából a legfontosabb: az egyedi magánkulcsot biztonságosan generálják és tárolják minden eszközön, és bármikor cserélhetők.
