SSL /TLS Automazione per l'Internet of Things (IoT)

Se proteggere l'Internet delle cose (IoT) fosse semplice e diretto, non leggeremmo storie di alto profilo ogni settimana su router con chiavi private esposte ed telecamere di sicurezza domestiche violate. Con notizie come questa, non c'è da meravigliarsi che molti consumatori siano ancora sospettosi dei dispositivi connessi a Internet. Il numero di dispositivi IoT dovrebbe superare 38 miliardi nel 2020 (un aumento di quasi tre volte rispetto al 2015) ed è giunto il momento per produttori e distributori di prendere sul serio la sicurezza.

SSL.com è qui per aiutarti a farlo! In qualità di autorità di certificazione (CA) pubblicamente attendibile e membro del CA / Browser Forum, SSL.com dispone della profonda esperienza e della tecnologia comprovata necessarie per aiutare i produttori a proteggere i propri dispositivi IoT e IIoT (Industrial Internet of Things) con i migliori infrastruttura a chiave pubblica (PKI), automazione, gestione e monitoraggio.

Se devi emettere e gestire migliaia (o anche centinaia di migliaia) di documenti attendibili pubblicamente o privatamente X.509 certificati per i tuoi dispositivi connessi a Internet, SSL.com ha tutto ciò di cui hai bisogno.

Esempio: protezione di un router wireless

A titolo di semplice illustrazione, descriveremo uno scenario con un tipico dispositivo incorporato: un router wireless domestico. Probabilmente sai tutto su come può essere l'accesso a uno di questi; scrivi qualcosa come http://10.254.255.1 nel tuo browser (se riesci a ricordarlo), magari fai clic su un avviso di sicurezza e poi spera che nessuno stia curiosando quando inserisci le tue credenziali di accesso. Per fortuna, i produttori di IoT possono ora offrire ai propri clienti un'esperienza molto più conveniente e, cosa più importante, sicura attraverso gli strumenti e la tecnologia offerti da SSL.com.

Nel nostro scenario di esempio, un produttore desidera consentire ai propri clienti di connettersi all'interfaccia di amministrazione del proprio router in modo sicuro tramite HTTPS, non HTTP. La società desidera inoltre consentire ai clienti di utilizzare un nome di dominio facile da ricordare (router.example.com), anziché l'indirizzo IP locale predefinito del dispositivo (192.168.1.1). SSL /TLS il certificato che protegge il server web interno del router deve essere pubblicamente fidatoo gli utenti dovranno affrontare messaggi di errore di sicurezza nei loro browser. Un'altra complicazione è che ogni SSL /TLS il certificato ha una durata codificata all'atto dell'emissione (attualmente effettivamente limitato da politiche del browser a circa un anno). A causa di questa limitazione, il produttore deve includere un mezzo per sostituire in remoto il certificato di sicurezza di un dispositivo quando necessario. Infine, il produttore vorrebbe fare tutte queste cose con il minimo o nessun inconveniente per i suoi clienti.

Lavorando con SSL.com, il produttore può eseguire le seguenti operazioni per fornire al server Web interno di ogni router un SSL / DV (Domain Validated) pubblicamente attendibileTLS certificato:

  1. Il produttore crea DNS A record che associano il nome di dominio desiderato (router.example.com) e un carattere jolly (*.router.example.com) all'indirizzo IP locale selezionato (192.168.1.1).
  2. Il produttore dimostra il controllo del suo nome di dominio di base (example.com) a SSL.com tramite un file validazione del dominio (DV) metodo (in questo caso, il contatto e-mail o la ricerca CNAME sarebbero appropriati).
  3. Utilizzo di un'emissione tecnicamente vincolata rilasciata da SSL.com CA subordinata (o SubCA) (CONTATTACI per ulteriori informazioni su come ottenere la propria CA subordinata emittente tecnicamente vincolata), l'azienda è in grado di emettere SSL pubblicamente attendibile /TLS certificati per i nomi di dominio del router convalidati. Per il nostro esempio rimarremo router.example.com, ma a seconda del caso d'uso potrebbe trattarsi anche di un carattere jolly, ad esempio *.router.example.com. Il carattere jolly consentirebbe l'emissione di certificati relativi a sottodomini simili www.router.example.com or mail.router.example.com.
  4. Durante la produzione, ogni dispositivo viene fornito con una coppia di chiavi crittografiche univoca e DV SSL /TLS protezione del certificato router.example.com.
  5. Quando un cliente collega il dispositivo per la prima volta a Internet, sono possibili due scenari:
    1. SSL incluso /TLS a livello internazionale non ha scaduto dalla fabbricazione. In questo caso l'utente può semplicemente connettersi direttamente al pannello di controllo del router all'indirizzo https://router.example.com/ con un browser Web e non si verificheranno errori di attendibilità del browser.
    2. SSL incluso /TLS a livello internazionale ha scaduto dalla fabbricazione. Un certificato in scadenza deve essere sostituito da uno di nuova emissione. A seconda delle capacità del dispositivo e delle preferenze del produttore, il dispositivo ora può:
      1. Genera internamente una nuova coppia di chiavi e una richiesta di firma del certificato, quindi inviala alla SubCA vincolata per la firma. La SubCA restituirà quindi un certificato SSL /TLS certificato.
      2. Emettere una richiesta per una nuova coppia di chiavi e CSR che verrà generato in un sistema di gestione delle chiavi esterno, firmato dal SubCA e consegnato al dispositivo.
  6. Quando è necessario un nuovo certificato per il dispositivo, è possibile utilizzare le credenziali di accesso dell'utente, un certificato client incluso e / o il processo di attestazione della chiave per autenticare il dispositivo con la SubCA vincolata.
  7. Durante la vita del dispositivo, il suo SSL /TLS il certificato verrà sostituito prima della scadenza, a intervalli regolari. In questo modo l'utente godrà dell'accesso continuo tramite HTTPS per tutta la durata del dispositivo.

Opzioni di automazione IoT

SSL.com offre ai produttori di dispositivi IoT più potenti strumenti di automazione e gestione per lavorare con il loro SSL.com personalizzato CA emittente:

  • API SSL Web Services (SWS): Automatizza ogni aspetto dell'emissione e del ciclo di vita dei certificati con SSL.com API RESTful.
  • Protocollo ACME: ACME è un protocollo standard consolidato per la convalida del dominio e la gestione dei certificati con molte implementazioni client open source.

E indipendentemente dalla tecnologia di automazione (o combinazione di tecnologie) più appropriata per una data situazione, produttori e fornitori avranno accesso a strumenti all'avanguardia per la gestione e il monitoraggio dell'emissione dei certificati, del ciclo di vita e della revoca sui propri dispositivi. Ogni nuovo dispositivo Iot e IIoT presenta le proprie sfide uniche e SSL.com è pronto, disponibile e in grado di collaborare con i produttori per creare soluzioni ottimizzate per fornire ai propri dispositivi certificati X.509 attendibili pubblicamente o privatamente. Se si connette a Internet, possiamo aiutarti a proteggerlo!

Grazie per aver visitato SSL.com! Se desideri saperne di più su come SSL.com può aiutarti a proteggere i tuoi dispositivi IoT e IIoT, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.

 

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.