SSL /TLS Otomasi untuk Internet of Things (IoT)

Jika mengamankan Internet of Things (IoT) itu sederhana dan mudah, kami tidak akan membaca cerita terkenal setiap minggu tentang router dengan kunci privat terbuka dan melanggar kamera keamanan rumah. Dengan kabar seperti ini, tak heran banyak konsumen yang masih curiga dengan perangkat yang terhubung ke internet. Jumlah perangkat IoT diperkirakan akan tercapai 38 miliar pada tahun 2020 (peningkatan hampir tiga kali lipat sejak 2015), dan sudah tiba saatnya bagi produsen dan vendor untuk serius tentang keamanan.

SSL.com di sini untuk membantu Anda menyelesaikannya! Sebagai otoritas sertifikat (CA) tepercaya publik dan anggota CA / Browser Forum, SSL.com memiliki keahlian mendalam dan teknologi teruji yang diperlukan untuk membantu produsen mengamankan perangkat IoT dan IIoT (Industrial Internet of Things) mereka dengan perangkat terbaik di kelasnya. infrastruktur kunci publik (PKI), otomatisasi, manajemen, dan pemantauan.

Jika Anda perlu menerbitkan dan mengelola ribuan (atau bahkan ratusan ribu) yang dipercaya secara publik atau pribadi X.509 sertifikat untuk perangkat yang terhubung internet Anda, SSL.com memiliki semua yang Anda butuhkan.

Contoh: Mengamankan Router Nirkabel

Sebagai ilustrasi sederhana, kami akan menjelaskan skenario yang menampilkan perangkat tertanam yang khas — router nirkabel rumah. Anda mungkin tahu semua tentang bagaimana masuk ke salah satu dari mereka bisa; Anda mengetik sesuatu seperti http://10.254.255.1 ke dalam browser Anda (jika Anda dapat mengingatnya), mungkin klik melalui peringatan keamanan, dan kemudian berharap tidak ada yang mengintip ketika Anda memasukkan kredensial login Anda. Untungnya, produsen IoT sekarang dapat menawarkan pelanggan mereka pengalaman yang jauh lebih nyaman — dan yang lebih penting, aman — melalui alat dan teknologi yang ditawarkan oleh SSL.com.

Dalam contoh skenario kami, pabrikan ingin membiarkan pelanggannya terhubung ke antarmuka admin router mereka secara aman melalui HTTPS, bukan HTTP. Perusahaan juga ingin membiarkan pelanggan menggunakan nama domain yang mudah diingat (router.example.com), daripada alamat IP lokal default perangkat (192.168.1.1). SSL /TLS sertifikat yang melindungi server web internal router harus dipercaya secara publik, atau pengguna akan menghadapi pesan kesalahan keamanan di browser mereka. Namun komplikasi lainnya adalah bahwa setiap SSL /TLS sertifikat memiliki masa pakai kode-keras pada saat penerbitan (saat ini secara efektif dibatasi oleh kebijakan browser menjadi sekitar satu tahun). Karena batasan ini, pabrikan harus menyertakan cara untuk mengganti sertifikat keamanan perangkat dari jarak jauh bila diperlukan. Akhirnya, pabrikan ingin melakukan semua hal ini dengan sedikit atau tanpa ketidaknyamanan bagi pelanggannya.

Bekerja dengan SSL.com, pabrikan dapat mengambil langkah-langkah berikut untuk menyediakan setiap server web internal router dengan SSL /TLS sertifikat:

1. Pabrikan menciptakan DNS A catatan yang mengaitkan nama domain yang diinginkan (router.example.com) dan wildcard (*.router.example.com) ke alamat IP lokal yang dipilih (192.168.1.1).
2. Pabrikan menunjukkan kendali atas nama domain dasarnya (example.com) ke SSL.com melalui yang berlaku validasi domain (DV) metode (dalam hal ini, kontak email atau pencarian CNAME akan sesuai).
3. Menggunakan penerbitan yang dibatasi secara teknis oleh SSL.com bawahan CA (atau SubCA) (atau hubungi kami untuk informasi lebih lanjut tentang cara mendapatkan CA bawahan Anda yang secara teknis dibatasi), perusahaan dapat menerbitkan SSL /TLS sertifikat untuk nama domain router yang divalidasi. Sebagai contoh kita akan tetap dengan router.example.com, tetapi tergantung pada use case ini juga bisa menjadi wildcard, seperti *.router.example.com. Wildcard akan memungkinkan penerbitan sertifikat yang mencakup subdomain seperti www.router.example.com or mail.router.example.com.
4. Selama pembuatan, setiap perangkat dilengkapi dengan pasangan kunci kriptografi unik dan DV SSL /TLS melindungi sertifikat router.example.com.
5. Ketika pelanggan pertama kali menghubungkan perangkat ke internet, dua skenario dimungkinkan:
   1. SSL yang disertakan /TLS sertifikat tidak punya kedaluwarsa sejak pembuatan. Dalam hal ini pengguna cukup terhubung langsung ke panel kontrol router di https://router.example.com/ dengan browser web, dan tidak akan mengalami kesalahan kepercayaan browser.
   2. SSL yang disertakan /TLS sertifikat memiliki kedaluwarsa sejak pembuatan. Sertifikat yang kedaluwarsa harus diganti dengan yang baru dikeluarkan. Bergantung pada kemampuan perangkat dan preferensi pabrikan, perangkat sekarang dapat:
      1. Buat pasangan kunci baru dan permintaan penandatanganan sertifikat secara internal, lalu kirimkan ke SubCA mereka yang dibatasi untuk ditandatangani. SubCA kemudian akan mengembalikan SSL /TLS sertifikat.
      2. Mengeluarkan permintaan untuk pasangan kunci baru dan CSR yang akan dihasilkan dalam sistem manajemen kunci eksternal, ditandatangani oleh SubCA, dan dikirim ke perangkat.
6. Jika sertifikat baru diperlukan untuk perangkat, kredensial login pengguna, sertifikat klien yang disertakan, dan / atau proses pengesahan kunci dapat digunakan untuk mengautentikasi perangkat dengan SubCA yang dibatasi.
7. Selama masa pakai perangkat, SSL /TLS sertifikat akan diganti sebelum kedaluwarsa, secara berkala. Dengan cara ini pengguna akan menikmati akses terus menerus melalui HTTPS selama masa pakai perangkat.

Opsi Otomatisasi IoT

SSL.com menawarkan produsen perangkat IoT beberapa alat manajemen dan otomatisasi yang kuat untuk bekerja dengan SSL.com kustom mereka mengeluarkan CA:

• API Layanan Web SSL (SWS): Otomatiskan setiap aspek penerbitan sertifikat dan siklus hidup dengan SSL.com API TENANG.
• Protokol ACME: PUNCAK adalah protokol standar dan mapan untuk validasi domain dan manajemen sertifikat dengan banyak implementasi klien open-source.

Dan tidak peduli teknologi otomatisasi (atau campuran teknologi) mana yang paling sesuai untuk situasi tertentu, produsen dan vendor akan memiliki akses ke alat canggih untuk mengelola dan memantau penerbitan sertifikat, siklus hidup, dan pencabutan pada perangkat mereka. Setiap perangkat Iot dan IIoT baru menghadirkan tantangan uniknya sendiri, dan SSL.com siap, bersedia, dan dapat bekerja dengan produsen untuk menciptakan solusi yang dioptimalkan untuk memasok perangkat mereka dengan sertifikat X.509 yang dipercaya secara publik atau pribadi. Jika terhubung ke internet, kami dapat membantu Anda mengamankannya!