Als het beveiligen van het Internet of Things (IoT) eenvoudig en duidelijk was, zouden we niet elke week spraakmakende verhalen lezen over routers met zichtbare privésleutels en inbreuk op beveiligingscamera's. Met dit soort nieuws is het geen wonder dat veel consumenten nog steeds wantrouwend staan tegenover apparaten met internetverbinding. Het aantal IoT-apparaten zal naar verwachting overschrijden 38 miljard in 2020 (een bijna drievoudige stijging net sinds 2015), en het is tijd voor fabrikanten en leveranciers om de beveiliging serieus te nemen.
SSL.com is er om u te helpen dat voor elkaar te krijgen! Als een openbaar vertrouwde certificeringsinstantie (CA) en lid van het CA / Browser Forum, heeft SSL.com de diepgaande expertise en bewezen technologie die nodig is om fabrikanten te helpen hun IoT- en IIoT-apparaten (Industrial Internet of Things) te beveiligen met de beste in zijn klasse openbare sleutelinfrastructuur (PKI), automatisering, beheer en monitoring.
Als u duizenden (of zelfs honderdduizenden) openbare of privé vertrouwde X.509 certificaten voor uw met internet verbonden apparaten, SSL.com heeft alles wat u nodig heeft.
Voorbeeld: een draadloze router beveiligen
Ter illustratie beschrijven we een scenario met een typisch ingebed apparaat: een draadloze thuisrouter. U weet waarschijnlijk alles over hoe inloggen op een van deze kan zijn; je typt zoiets als http://10.254.255.1
in uw browser (als u het zich nog kunt herinneren), klikt u misschien door een beveiligingswaarschuwing en hoopt u dat niemand snuffelt wanneer u uw inloggegevens invoert. Gelukkig kunnen IoT-fabrikanten hun klanten nu een veel gemakkelijkere en vooral veilige ervaring bieden via de tools en technologie die SSL.com biedt.
In ons voorbeeldscenario wil een fabrikant zijn klanten veilig verbinding laten maken met de admin-interface van hun router via HTTPS, niet HTTP. Het bedrijf wil klanten ook een gemakkelijk te onthouden domeinnaam laten gebruiken (router.example.com
), in plaats van het standaard lokale IP-adres van het apparaat (192.168.1.1
). De SSL /TLS certificaat dat de interne webserver van de router beschermt, moet publiekelijk vertrouwd, of gebruikers krijgen beveiligingsfoutmeldingen in hun browser te zien. Nog een andere complicatie is dat elke openbaar vertrouwde SSL /TLS certificaat heeft een hard-coded levensduur bij uitgifte (momenteel effectief beperkt door browserbeleid tot ongeveer een jaar). Vanwege deze beperking moet de fabrikant een middel opnemen om, indien nodig, het beveiligingscertificaat van een apparaat op afstand te vervangen. Ten slotte wil de fabrikant al deze dingen doen met zo min mogelijk of geen overlast voor zijn klanten.
In samenwerking met SSL.com kan de fabrikant de volgende stappen nemen om de interne webserver van elke router te voorzien van een openbaar vertrouwde, domein gevalideerde (DV) SSL /TLS certificaat:
- De fabrikant maakt DNS aan A records die de gewenste domeinnaam koppelen (
router.example.com
) en een jokerteken (*.router.example.com
) naar het gekozen lokale IP-adres (192.168.1.1
). - De fabrikant toont controle over zijn basisdomeinnaam (
example.com
) naar SSL.com via een toepasselijke domeinvalidatie (DV) methode (in dit geval is e-mailcontact of CNAME-zoekopdracht geschikt). - Een door SSL.com uitgegeven technisch beperkte uitgifte gebruiken ondergeschikte CA (of SubCA) (contact opnemen. voor meer informatie over hoe u uw eigen technisch beperkte uitgevende ondergeschikte CA kunt krijgen), kan het bedrijf openbaar vertrouwde SSL /TLS certificaten voor de gevalideerde routerdomeinnaam (namen). Voor ons voorbeeld zullen we vasthouden
router.example.com
, maar afhankelijk van het gebruik kan dit ook een jokerteken zijn, zoals*.router.example.com
. Het jokerteken zou de uitgifte van certificaten mogelijk maken voor subdomeinen zoalswww.router.example.com
ormail.router.example.com
. - Tijdens de fabricage wordt elk apparaat voorzien van een uniek cryptografisch sleutelpaar en openbaar vertrouwde DV SSL /TLS certificaat beschermen
router.example.com
. - Wanneer een klant het apparaat voor het eerst met internet verbindt, zijn er twee scenario's mogelijk:
- De meegeleverde SSL /TLS certificaat heeft niet verlopen sinds de fabricage. In dit geval kan de gebruiker eenvoudig rechtstreeks verbinding maken met het configuratiescherm van de router op
https://router.example.com/
met een webbrowser en ondervindt geen vertrouwensfouten in de browser. - De meegeleverde SSL /TLS certificaat heeft verlopen sinds de fabricage. Een aflopend certificaat moet worden vervangen door een nieuw uitgegeven certificaat. Afhankelijk van de mogelijkheden van het apparaat en de voorkeuren van de fabrikant, kan het apparaat nu:
- Genereer intern een nieuw sleutelpaar en een nieuw certificaatondertekeningsverzoek, en dien dit vervolgens in bij hun beperkte SubCA voor ondertekening. De SubCA stuurt dan een ondertekende SSL /TLS certificaat.
- Dien een verzoek in voor een nieuw sleutelpaar en CSR die wordt gegenereerd in een extern sleutelbeheersysteem, ondertekend door de SubCA, en afgeleverd op het apparaat.
- De meegeleverde SSL /TLS certificaat heeft niet verlopen sinds de fabricage. In dit geval kan de gebruiker eenvoudig rechtstreeks verbinding maken met het configuratiescherm van de router op
- Wanneer een nieuw certificaat nodig is voor het apparaat, kunnen de inloggegevens van de gebruiker, een meegeleverd clientcertificaat en / of sleutelattestatieproces worden gebruikt om het apparaat te authenticeren met de beperkte SubCA.
- Tijdens de levensduur van het apparaat is de SSL /TLS certificaat zal worden vervangen voor het verstrijken, met regelmatige tussenpozen. Op deze manier heeft de gebruiker gedurende de levensduur van het apparaat continue toegang via HTTPS.
IoT-automatiseringsopties
SSL.com biedt fabrikanten van IoT-apparaten meerdere krachtige automatiserings- en beheertools voor het werken met hun aangepaste SSL.com afgevende CA:
- SSL-webservices (SWS) API: Automatiseer elk aspect van certificaatuitgifte en levenscyclus met SSL.com's RESTful API.
- ACME-protocol: ACME is een gevestigd standaardprotocol voor domeinvalidatie en certificaatbeheer met veel open-source clientimplementaties.
En ongeacht welke automatiseringstechnologie (of combinatie van technologieën) het meest geschikt is voor een bepaalde situatie, fabrikanten en leveranciers hebben toegang tot de modernste tools voor het beheren en bewaken van certificaatuitgifte, levenscyclus en intrekking op hun apparaten. Elk nieuw IoT- en IIoT-apparaat biedt zijn eigen unieke uitdagingen, en SSL.com is klaar, bereid en in staat om met fabrikanten samen te werken om geoptimaliseerde oplossingen te creëren om hun apparaten te voorzien van openbaar of privé vertrouwde X.509-certificaten. Als het verbinding maakt met internet, kunnen we u helpen het te beveiligen!