In questi giorni, è comune vedere notizie su pratiche non sicure di Internet of Things (IoT) come chiavi private incorporate nel firmware del dispositivo scaricabile e prontamente disponibile per gli aggressori. I potenziali clienti IoT e IIoT (Industrial Internet of Things) sono giustamente preoccupati per la sicurezza, ma non deve essere così!
Con un personalizzato, abilitato ACME CA emittente (noto anche come a CA subordinata or SubCA) da SSL.com, i fornitori IoT e IIoT possono gestire e automatizzare facilmente la convalida, l'installazione, il rinnovo e la revoca di SSL /TLS certificati su dispositivi compatibili con ACME. Con ACME, le chiavi private verranno generate e archiviate in modo sicuro sul dispositivo stesso, eliminando la necessità di procedure di gestione delle chiavi non sicure.
Che cos'è ACME e come può funzionare con l'IoT?
Ambiente automatizzato di gestione dei certificati (ACME) è un protocollo standard per la convalida del dominio automatizzata e l'installazione di certificati X.509, documentato in RFC 8555 dell'IETF. Come uno standard ben documentato con molti open-source implementazioni client, ACME offre ai fornitori di IoT un modo indolore per eseguire automaticamente il provisioning di dispositivi come modem e router con certificati di entità finali affidabili o pubblici o privati e mantenerli aggiornati nel tempo.
SSL.com offre ora ai nostri clienti aziendali la possibilità di avere l'interfaccia dei propri dispositivi direttamente con un ACME gestito e dedicato abilitato CA emittente, offrendo i seguenti vantaggi:
- Convalida automatica del dominio e rinnovo del certificato.
- SSL continuo /TLS la copertura riduce il mal di testa amministrativo.
- Aumenta la sicurezza attraverso una durata più breve dei certificati delle entità finali.
- Gestire la revoca del certificato
- Protocollo standard IETF consolidato e ben documentato.
- Trust pubblico o privato disponibile.
Come funziona ACME
Quando un dispositivo IoT abilitato ACME è connesso a Internet e deve richiedere l'emissione o il rinnovo del certificato, il software client ACME incorporato genera una coppia di chiavi crittografiche e richiesta di firma del certificato (CSR) sul dispositivo. Il CSR viene inviato a una CA di emissione tecnicamente limitata, che restituisce un certificato firmato. Il client ACME gestisce quindi l'installazione del certificato.
Il forum CA / Browser Requisiti di base definire Certificato CA tecnicamente vincolato as
Un certificato CA subordinato che utilizza una combinazione di impostazioni Uso chiave esteso e Impostazioni vincolo nome per limitare l'ambito entro il quale il Certificato CA subordinato può emettere Sottoscrittore o Certificati CA subordinati aggiuntivi.
Ad esempio, una CA di emissione ospitata potrebbe essere tecnicamente vincolata a emettere SSL /TLS certificati per un set limitato di nomi di dominio di proprietà del fornitore IoT da utilizzare sui suoi router wireless. Il router richiederebbe quindi un certificato firmato che associa un nome di dominio simile config.company.com
all'indirizzo IP del router sulla sua rete locale. Il certificato consente agli utenti di effettuare connessioni HTTPS al router con quell'URL invece di dover inserire un indirizzo IP (es 192.168.1.1
). Soprattutto per la sicurezza, una chiave privata unica viene generata e archiviata in modo sicuro su ciascun dispositivo e può essere sostituita in qualsiasi momento.