SSL /TLS Automatisering voor het internet der dingen (IoT)

IoT- en IIoT-fabrikanten kunnen met SSL.com samenwerken om de uitgifte en vernieuwing van openbaar vertrouwde SSL /TLS certificaten voor hun apparaten.

gerelateerde inhoud

Wil je blijven leren?

Abonneer u op de nieuwsbrief van SSL.com, blijf op de hoogte en veilig.

Als het beveiligen van het Internet of Things (IoT) eenvoudig en duidelijk was, zouden we niet elke week spraakmakende verhalen lezen over routers met zichtbare privésleutels en inbreuk op beveiligingscamera's. Met dit soort nieuws is het geen wonder dat veel consumenten nog steeds wantrouwend staan ​​tegenover apparaten met internetverbinding. Het aantal IoT-apparaten zal naar verwachting overschrijden 38 miljard in 2020 (een bijna drievoudige stijging net sinds 2015), en het is tijd voor fabrikanten en leveranciers om de beveiliging serieus te nemen.

SSL.com is er om u te helpen dat voor elkaar te krijgen! Als een openbaar vertrouwde certificeringsinstantie (CA) en lid van het CA / Browser Forum, heeft SSL.com de diepgaande expertise en bewezen technologie die nodig is om fabrikanten te helpen hun IoT- en IIoT-apparaten (Industrial Internet of Things) te beveiligen met de beste in zijn klasse openbare sleutelinfrastructuur (PKI), automatisering, beheer en monitoring.

Als u duizenden (of zelfs honderdduizenden) openbare of privé vertrouwde X.509 certificaten voor uw met internet verbonden apparaten, SSL.com heeft alles wat u nodig heeft.

Voorbeeld: een draadloze router beveiligen

Ter illustratie beschrijven we een scenario met een typisch ingebed apparaat: een draadloze thuisrouter. U weet waarschijnlijk alles over hoe inloggen op een van deze kan zijn; je typt zoiets als http://10.254.255.1 in uw browser (als u het zich nog kunt herinneren), klikt u misschien door een beveiligingswaarschuwing en hoopt u dat niemand snuffelt wanneer u uw inloggegevens invoert. Gelukkig kunnen IoT-fabrikanten hun klanten nu een veel gemakkelijkere en vooral veilige ervaring bieden via de tools en technologie die SSL.com biedt.

In ons voorbeeldscenario wil een fabrikant zijn klanten veilig verbinding laten maken met de admin-interface van hun router via HTTPS, niet HTTP. Het bedrijf wil klanten ook een gemakkelijk te onthouden domeinnaam laten gebruiken (router.example.com), in plaats van het standaard lokale IP-adres van het apparaat (192.168.1.1). De SSL /TLS certificaat dat de interne webserver van de router beschermt, moet publiekelijk vertrouwd, of gebruikers krijgen beveiligingsfoutmeldingen in hun browser te zien. Nog een andere complicatie is dat elke openbaar vertrouwde SSL /TLS certificaat heeft een hard-coded levensduur bij uitgifte (momenteel effectief beperkt door browserbeleid tot ongeveer een jaar). Vanwege deze beperking moet de fabrikant een middel opnemen om, indien nodig, het beveiligingscertificaat van een apparaat op afstand te vervangen. Ten slotte wil de fabrikant al deze dingen doen met zo min mogelijk of geen overlast voor zijn klanten.

In samenwerking met SSL.com kan de fabrikant de volgende stappen nemen om de interne webserver van elke router te voorzien van een openbaar vertrouwde, domein gevalideerde (DV) SSL /TLS certificaat:

  1. De fabrikant maakt DNS aan A records die de gewenste domeinnaam koppelen (router.example.com) en een jokerteken (*.router.example.com) naar het gekozen lokale IP-adres (192.168.1.1).
  2. De fabrikant toont controle over zijn basisdomeinnaam (example.com) naar SSL.com via een toepasselijke domeinvalidatie (DV) methode (in dit geval is e-mailcontact of CNAME-zoekopdracht geschikt).
  3. Een door SSL.com uitgegeven technisch beperkte uitgifte gebruiken ondergeschikte CA (of SubCA) (contact opnemen. voor meer informatie over hoe u uw eigen technisch beperkte uitgevende ondergeschikte CA kunt krijgen), kan het bedrijf openbaar vertrouwde SSL /TLS certificaten voor de gevalideerde routerdomeinnaam (namen). Voor ons voorbeeld zullen we vasthouden router.example.com, maar afhankelijk van het gebruik kan dit ook een jokerteken zijn, zoals *.router.example.com. Het jokerteken zou de uitgifte van certificaten mogelijk maken voor subdomeinen zoals www.router.example.com or mail.router.example.com.
  4. Tijdens de fabricage wordt elk apparaat voorzien van een uniek cryptografisch sleutelpaar en openbaar vertrouwde DV SSL /TLS certificaat beschermen router.example.com.
  5. Wanneer een klant het apparaat voor het eerst met internet verbindt, zijn er twee scenario's mogelijk:
    1. De meegeleverde SSL /TLS certificaat heeft niet verlopen sinds de fabricage. In dit geval kan de gebruiker eenvoudig rechtstreeks verbinding maken met het configuratiescherm van de router op https://router.example.com/ met een webbrowser en ondervindt geen vertrouwensfouten in de browser.
    2. De meegeleverde SSL /TLS certificaat heeft verlopen sinds de fabricage. Een aflopend certificaat moet worden vervangen door een nieuw uitgegeven certificaat. Afhankelijk van de mogelijkheden van het apparaat en de voorkeuren van de fabrikant, kan het apparaat nu:
      1. Genereer intern een nieuw sleutelpaar en een nieuw certificaatondertekeningsverzoek, en dien dit vervolgens in bij hun beperkte SubCA voor ondertekening. De SubCA stuurt dan een ondertekende SSL /TLS certificaat.
      2. Dien een verzoek in voor een nieuw sleutelpaar en CSR die wordt gegenereerd in een extern sleutelbeheersysteem, ondertekend door de SubCA, en afgeleverd op het apparaat.
  6. Wanneer een nieuw certificaat nodig is voor het apparaat, kunnen de inloggegevens van de gebruiker, een meegeleverd clientcertificaat en / of sleutelattestatieproces worden gebruikt om het apparaat te authenticeren met de beperkte SubCA.
  7. Tijdens de levensduur van het apparaat is de SSL /TLS certificaat zal worden vervangen voor het verstrijken, met regelmatige tussenpozen. Op deze manier heeft de gebruiker gedurende de levensduur van het apparaat continue toegang via HTTPS.

IoT-automatiseringsopties

SSL.com biedt fabrikanten van IoT-apparaten meerdere krachtige automatiserings- en beheertools voor het werken met hun aangepaste SSL.com afgevende CA:

  • SSL-webservices (SWS) API: Automatiseer elk aspect van certificaatuitgifte en levenscyclus met SSL.com's RESTful API.
  • ACME-protocol: ACME is een gevestigd standaardprotocol voor domeinvalidatie en certificaatbeheer met veel open-source clientimplementaties.

En ongeacht welke automatiseringstechnologie (of combinatie van technologieën) het meest geschikt is voor een bepaalde situatie, fabrikanten en leveranciers hebben toegang tot de modernste tools voor het beheren en bewaken van certificaatuitgifte, levenscyclus en intrekking op hun apparaten. Elk nieuw IoT- en IIoT-apparaat biedt zijn eigen unieke uitdagingen, en SSL.com is klaar, bereid en in staat om met fabrikanten samen te werken om geoptimaliseerde oplossingen te creëren om hun apparaten te voorzien van openbaar of privé vertrouwde X.509-certificaten. Als het verbinding maakt met internet, kunnen we u helpen het te beveiligen!

Bedankt voor het bezoeken van SSL.com! Als u meer wilt weten over hoe SSL.com u kan helpen uw IoT- en IIoT-apparaten te beveiligen, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.

 

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.