モノのインターネット(IoT)のセキュリティ保護が単純明快であれば、毎週注目の記事を読むことはありません。 秘密鍵が公開されているルーター と 違反したホームセキュリティカメラ. このようなニュースがあっても、多くの消費者がインターネットに接続されたデバイスに依然として疑いを抱いているのは当然です。 IoTデバイスの数は達すると予想されます 38億 2020年には(2015年から約XNUMX倍に増加)、メーカーやベンダーがセキュリティについて真剣に考える時が来ました。
SSL.comはあなたがそれを成し遂げるのを助けるためにここにあります! 公的に信頼されている認証局(CA)およびCA /ブラウザフォーラムのメンバーとして、SSL.comは、メーカーがクラス最高のIoTおよびIIoT(Industrial Internet of Things)デバイスを保護するために必要な深い専門知識と実証済みのテクノロジーを備えています。公開鍵インフラストラクチャ(PKI)、自動化、管理、および監視。
数千(または数十万)の公的または私的信頼の発行および管理が必要な場合 X.509 SSL.comは、インターネットに接続されたデバイスの証明書であり、必要なものがすべて揃っています。
例:ワイヤレスルーターの保護
簡単な例として、典型的な組み込みデバイスであるホームワイヤレスルーターを使用したシナリオについて説明します。 これらのいずれかにログインする方法については、おそらくすべて知っています。 あなたは次のようなものを入力します http://10.254.255.1
ブラウザで(覚えている場合)、セキュリティ警告をクリックして、ログイン資格情報を入力したときに誰も覗き見しないようにしてください。 ありがたいことに、IoTメーカーは、SSL.comが提供するツールとテクノロジーを通じて、顧客にはるかに便利な、そしてさらに重要なことに安全なエクスペリエンスを提供できるようになりました。
このシナリオ例では、製造業者が顧客にルーターの管理インターフェイスに安全に接続させたいと考えています。 HTTPS、HTTPではありません。 また、顧客が覚えやすいドメイン名(router.example.com
)、デバイスのデフォルトのローカルIPアドレス(192.168.1.1
)。 SSL /TLS ルーターの内部Webサーバーを保護する証明書は、 公に信頼される、またはユーザーはブラウザでセキュリティエラーメッセージに直面します。 さらに別の問題は、公的に信頼されている各SSL /TLS 証明書には、発行時にハードコードされた有効期限があります(現在、 ブラウザポリシー 約XNUMX年)。 この制限のため、製造元は、必要に応じてデバイスのセキュリティ証明書をリモートで交換する手段を含める必要があります。 最後に、製造業者は、これらのすべてのことを、顧客への不便を最小限に抑えて、またはまったく行わないようにしたいと考えています。
SSL.comを使用すると、製造元は次の手順を実行して、各ルーターの内部Webサーバーに公的に信頼されたドメイン検証済み(DV)SSL /をプロビジョニングできます。TLS 証明書:
- 製造元がDNSを作成します A 目的のドメイン名を関連付けるレコード(
router.example.com
)とワイルドカード(*.router.example.com
)選択したローカルIPアドレス(192.168.1.1
). - 製造元は、その基本ドメイン名(
example.com
)該当する方法でSSL.comに ドメイン検証(DV) メソッド(この場合、電子メール連絡先またはCNAMEルックアップのいずれかが適切です)。 - SSL.com発行の技術的に制約された発行の使用 下位CA (またはSubCA)(お問い合わせ 技術的に制約のある独自の発行従属CAを取得する方法の詳細については、会社は公的に信頼されたSSL /を発行できます。TLS 検証済みのルータードメイン名の証明書。 この例では、
router.example.com
、ただしユースケースによっては、次のようなワイルドカードになる場合もあります。*.router.example.com
。 ワイルドカードは、次のようなサブドメインをカバーする証明書の発行を許可しますwww.router.example.com
ormail.router.example.com
. - 製造時に、各デバイスには一意の暗号化キーペアと公開信頼型DV SSL /がプロビジョニングされます。TLS 証明書の保護
router.example.com
. - 顧客が最初にデバイスをインターネットに接続するとき、XNUMXつのシナリオが考えられます。
- 付属のSSL /TLS 証明書 持っていない 製造以来有効期限が切れています。 この場合、ユーザーはルーターのコントロールパネルに直接接続するだけで
https://router.example.com/
Webブラウザーで、ブラウザーの信頼エラーは発生しません。 - 付属のSSL /TLS 証明書 持っています 製造以来有効期限が切れています。 有効期限が切れる証明書は、新しく発行された証明書に置き換える必要があります。 デバイスの機能と製造元の設定に応じて、デバイスは次のいずれかになります。
- 新しいキーペアと証明書署名要求を内部で生成し、それを制約付きSubCAに送信して署名します。 その後、SubCAは署名されたSSL /を返します。TLS 証明書。
- 新しいキーペアのリクエストを発行し、 CSR これは、外部キー管理システムで生成され、SubCAによって署名され、デバイスに配信されます。
- 付属のSSL /TLS 証明書 持っていない 製造以来有効期限が切れています。 この場合、ユーザーはルーターのコントロールパネルに直接接続するだけで
- デバイスに新しい証明書が必要な場合、ユーザーのログイン資格情報、含まれているクライアント証明書、および/またはキー認証プロセスを使用して、制限されたSubCAでデバイスを認証できます。
- デバイスの存続期間中、そのSSL /TLS 証明書は、有効期限が切れる前に定期的に交換されます。 このようにして、ユーザーはデバイスの存続期間中、HTTPSを介して継続的にアクセスできます。
IoT自動化オプション
SSL.comは、IoTデバイスメーカーに、カスタムSSL.comと連携するための複数の強力な自動化および管理ツールを提供します CAの発行:
- SSL Webサービス(SWS)API: SSL.comを使用して、証明書の発行とライフサイクルのあらゆる側面を自動化します。 RESTful API.
- ACMEプロトコル: ACME は、ドメイン検証と証明書管理のための確立された標準プロトコルであり、多くのオープンソースクライアント実装を備えています。
また、特定の状況に最適な自動化テクノロジー(またはテクノロジーの組み合わせ)に関係なく、メーカーとベンダーは、デバイスでの証明書の発行、ライフサイクル、および失効を管理および監視するための最先端のツールにアクセスできます。 新しいIotおよびIIoTデバイスにはそれぞれ固有の課題があり、SSL.comはメーカーと協力して、公的または私的に信頼されているX.509証明書をデバイスに提供するための最適化されたソリューションを作成する準備ができています。 インターネットに接続している場合は、セキュリティで保護することができます!