Saat ini, sudah umum untuk melihat berita tentang praktik Internet of Things (IoT) yang tidak aman seperti kunci pribadi yang tertanam dalam firmware perangkat yang dapat diunduh dan tersedia untuk penyerang. Pelanggan potensial IoT dan IIoT (Industrial Internet of Things) benar-benar mengkhawatirkan keamanan, tetapi tidak harus seperti itu!
Dengan kustom, yang diaktifkan ACME mengeluarkan CA (juga dikenal sebagai a bawahan CA or SubCA) dari SSL.com, vendor IoT dan IIoT dapat dengan mudah mengelola dan mengotomatiskan validasi, instalasi, pembaruan, dan pencabutan SSL /TLS sertifikat pada perangkat berkemampuan ACME. Dengan ACME, kunci pribadi akan dibuat dan disimpan dengan aman di perangkat itu sendiri, menghilangkan segala kebutuhan untuk praktik penanganan kunci yang tidak aman.
Apa itu ACME dan bagaimana cara kerjanya dengan IOT?
Lingkungan Manajemen Sertifikat Otomatis (ACME) adalah protokol standar untuk validasi domain otomatis dan pemasangan sertifikat X.509, didokumentasikan dalam IETF RFC 8555. Sebagai standar yang terdokumentasi dengan baik dengan banyak sumber terbuka implementasi klien, ACME menawarkan kepada vendor IoT cara yang tidak menyakitkan untuk secara otomatis menyediakan perangkat seperti modem dan router dengan sertifikat entitas akhir yang dipercaya secara publik atau pribadi dan menjaga agar sertifikat ini diperbarui dari waktu ke waktu.
SSL.com sekarang menawarkan pelanggan perusahaan kami kemampuan untuk memiliki antarmuka perangkat mereka secara langsung dengan ACME khusus yang dikelola dan diaktifkan mengeluarkan CA, menawarkan manfaat berikut:
- Validasi domain otomatis dan perpanjangan sertifikat.
- SSL berkelanjutan /TLS cakupan mengurangi sakit kepala administratif.
- Meningkatkan keamanan melalui rentang sertifikat entitas akhir yang lebih pendek.
- Kelola pencabutan sertifikat
- Protokol standar IETF yang telah terdokumentasi dengan baik.
- Kepercayaan publik atau pribadi tersedia.
Bagaimana ACME Bekerja
Ketika perangkat IoT yang diaktifkan ACME terhubung ke internet dan perlu meminta penerbitan atau pembaruan sertifikat, perangkat lunak klien ACME yang tertanam menghasilkan pasangan kunci kriptografis dan permintaan penandatanganan sertifikat (CSR) pada perangkat. Itu CSR dikirim ke CA penerbit yang ditahan secara teknis, yang mengembalikan sertifikat yang ditandatangani. Klien ACME kemudian menangani instalasi sertifikat.
CA / Forum Browser Persyaratan Dasar mendefinisikan Sertifikat CA Terkendala Secara Teknis as
Sertifikat CA bawahan yang menggunakan kombinasi pengaturan penggunaan kunci yang diperluas dan pengaturan kendala nama untuk membatasi ruang lingkup di mana Sertifikat CA bawahan dapat mengeluarkan pelanggan atau tambahan sertifikat CA bawahan.
Misalnya, CA penerbit yang dihosting dapat dibatasi secara teknis untuk menerbitkan SSL / entitas akhirTLS sertifikat untuk set terbatas nama domain yang dimiliki oleh vendor IoT untuk digunakan pada router nirkabelnya. Router kemudian akan meminta sertifikat yang ditandatangani yang mengaitkan seperti nama domain config.company.com ke alamat IP router di jaringan lokalnya. Sertifikat memungkinkan pengguna untuk membuat koneksi HTTPS ke router dengan URL itu daripada harus memasukkan alamat IP (mis 192.168.1.1). Paling penting untuk keamanan, kunci pribadi yang unik dibuat dan disimpan dengan aman di setiap perangkat dan dapat diganti kapan saja.
