사물 인터넷 (IoT) 보안이 간단하고 간단하다면 매주 주목할만한 이야기를 읽지 않을 것입니다. 개인 키가 노출 된 라우터 and 가정 보안 카메라 위반. 이와 같은 뉴스를 통해 많은 소비자가 여전히 인터넷에 연결된 장치를 의심하고 있다는 것은 놀라운 일이 아닙니다. IoT 장치의 수가 넘을 것으로 예상됩니다 38 억 2020 년 (2015 년 이후 거의 XNUMX 배 증가)과 제조업체 및 공급 업체가 보안에 대해 심각하게 생각할 때가되었습니다.
SSL.com이이를 도와드립니다! 공개적으로 신뢰할 수있는 인증 기관 (CA)이자 CA / 브라우저 포럼의 회원 인 SSL.com은 제조업체가 동급 최강의 IoT 및 IIoT (Industrial Internet of Things) 장치를 보호하는 데 필요한 깊은 전문성과 입증 된 기술을 보유하고 있습니다. 공개 키 인프라 (PKI), 자동화, 관리 및 모니터링.
공개적으로 또는 비공개 적으로 신뢰할 수있는 수천 개 (또는 수십만 개)를 발행하고 관리해야하는 경우 X.509 인터넷에 연결된 장치의 인증서 인 SSL.com에는 필요한 모든 것이 있습니다.
예 : 무선 라우터 보안
간단한 그림으로 일반적인 임베디드 장치 인 가정용 무선 라우터를 특징으로하는 시나리오를 설명하겠습니다. 그 중 하나에 로그인하는 방법에 대해 모두 알고있을 것입니다. 당신은 뭔가를 입력 http://10.254.255.1
기억할 수있는 경우 브라우저에 보안 경고를 클릭 한 다음 로그인 자격 증명을 입력 할 때 아무도 스누핑하지 않기를 바랍니다. 다행히 IoT 제조업체는 SSL.com에서 제공하는 도구와 기술을 통해 고객에게 훨씬 더 편리하고 안전한 경험을 제공 할 수 있습니다.
이 예제 시나리오에서 제조업체는 고객이 다음을 통해 라우터의 관리 인터페이스에 안전하게 연결하기를 원합니다. HTTPS, HTTP가 아닙니다. 이 회사는 고객이 기억하기 쉬운 도메인 이름 (router.example.com
), 장치의 기본 로컬 IP 주소 (192.168.1.1
). SSL /TLS 라우터의 내부 웹 서버를 보호하는 인증서는 공개적으로 신뢰할 수있는또는 사용자는 브라우저에서 보안 오류 메시지를 보게됩니다. 또 다른 문제는 공개적으로 신뢰할 수있는 SSL /TLS 인증서는 발급시 하드 코딩 된 수명을 갖습니다 (현재 효과적으로 브라우저 정책 약 XNUMX 년). 이러한 제한 때문에 제조업체는 필요할 때 장치의 보안 인증서를 원격으로 교체 할 수있는 수단을 포함해야합니다. 마지막으로 제조업체는 고객에게 불편을 최소화하거나 전혀 불편하게하지 않고 이러한 모든 작업을 수행하고자합니다.
SSL.com과 협력하여 제조업체는 다음 단계를 수행하여 각 라우터의 내부 웹 서버에 공개적으로 신뢰할 수있는 도메인 검증 (DV) SSL /을 제공 할 수 있습니다.TLS 증명서:
- 제조업체는 DNS를 만듭니다. A 원하는 도메인 이름을 연결하는 레코드 (
router.example.com
) 및 와일드 카드 (*.router.example.com
)를 선택한 로컬 IP 주소 (192.168.1.1
). - 제조업체는 기본 도메인 이름 (
example.com
)를 통해 SSL.com에 도메인 검증 (DV) 방법 (이 경우 이메일 연락처 또는 CNAME 조회가 적합 함). - SSL.com에서 발행 한 기술적으로 제한적인 발급 사용 하위 CA (또는 SubCA) (여기를 클릭해주세요. 기술적으로 제한된 발급 하위 CA를 얻는 방법에 대한 자세한 내용은 회사에서 공개적으로 신뢰할 수있는 SSL /TLS 유효한 라우터 도메인 이름에 대한 인증서. 이 예에서는
router.example.com
사용 사례에 따라 다음과 같은 와일드 카드 일 수도 있습니다.*.router.example.com
. 와일드 카드를 사용하면 다음과 같은 하위 도메인을 포괄하는 인증서를 발급 할 수 있습니다.www.router.example.com
ormail.router.example.com
. - 제조 과정에서 각 장치는 고유 한 암호화 키 쌍과 공개적으로 신뢰할 수있는 DV SSL /TLS 인증서 보호
router.example.com
. - 고객이 기기를 인터넷에 처음 연결하면 두 가지 시나리오가 가능합니다.
- 포함 된 SSL /TLS 증명서 ~하지 않았다. 제조 이후 만료되었습니다. 이 경우 사용자는 간단히 라우터의 제어판에 직접 연결할 수 있습니다.
https://router.example.com/
웹 브라우저를 사용하며 브라우저 신뢰 오류가 발생하지 않습니다. - 포함 된 SSL /TLS 증명서 이 제조 이후 만료되었습니다. 만료되는 인증서는 새로 발급 된 인증서로 교체해야합니다. 장치의 기능과 제조업체의 기본 설정에 따라 장치는 이제 다음 중 하나를 수행 할 수 있습니다.
- 내부적으로 새 키 쌍 및 인증서 서명 요청을 생성 한 다음 서명을 위해 제한된 SubCA에 제출합니다. 그러면 SubCA가 서명 된 SSL /TLS 증명서.
- 새로운 키 페어 요청 CSR 외부 키 관리 시스템에서 생성되어 SubCA에서 서명 한 후 장치로 전달됩니다.
- 포함 된 SSL /TLS 증명서 ~하지 않았다. 제조 이후 만료되었습니다. 이 경우 사용자는 간단히 라우터의 제어판에 직접 연결할 수 있습니다.
- 장치에 새 인증서가 필요한 경우 사용자의 로그인 자격 증명, 포함 된 클라이언트 인증서 및 / 또는 키 증명 프로세스를 사용하여 제한된 SubCA로 장치를 인증 할 수 있습니다.
- 기기의 수명 동안 SSL /TLS 인증서는 만료 전에 정기적으로 교체됩니다. 이러한 방식으로 사용자는 장치 수명 동안 HTTPS를 통한 지속적인 액세스를 즐길 수 있습니다.
IoT 자동화 옵션
SSL.com은 IoT 장치 제조업체에 맞춤형 SSL.com으로 작업하기위한 여러 가지 강력한 자동화 및 관리 도구를 제공합니다. 발급 CA:
- SSL 웹 서비스 (SWS) API : SSL.com의 인증서 발급 및 수명주기의 모든 측면을 자동화합니다. RESTful API.
- ACME 프로토콜 : 절정 많은 오픈 소스 클라이언트 구현을 통해 도메인 유효성 검사 및 인증서 관리를위한 확립 된 표준 프로토콜입니다.
그리고 주어진 상황에 가장 적합한 자동화 기술 (또는 기술 조합)이 무엇이든 제조업체와 공급 업체는 장치에서 인증서 발급, 수명주기 및 폐기를 관리하고 모니터링하기위한 최첨단 도구에 액세스 할 수 있습니다. 각각의 새로운 Iot 및 IIoT 장치에는 고유 한 문제가 있으며 SSL.com은 제조업체와 협력하여 공개적으로 또는 비공개 적으로 신뢰할 수있는 X.509 인증서를 장치에 제공하기위한 최적화 된 솔루션을 만들 준비가되어 있고 기꺼이 협력 할 수 있습니다. 인터넷에 연결되면 보안을 유지할 수 있습니다.