Tegenwoordig is het gebruikelijk om nieuwsverhalen te zien over onveilige Internet of Things (IoT) -praktijken zoals privésleutels ingebed in downloadbare apparaatfirmware en direct beschikbaar voor aanvallers. Potentiële IoT- en IIoT-klanten (Industrial Internet of Things) maken zich terecht zorgen over beveiliging, maar dat hoeft niet zo te zijn!
Met een aangepast, geschikt voor ACME afgevende CA (ook bekend als een ondergeschikte CA or SubCA) van SSL.com, kunnen IoT- en IIoT-leveranciers validatie, installatie, vernieuwing en intrekking van SSL /TLS certificaten op apparaten die ACME ondersteunen. Met ACME worden privésleutels veilig gegenereerd en opgeslagen op het apparaat zelf, waardoor onveilige sleutelafhandeling overbodig wordt.
Wat is ACME en hoe werkt het met het IoT?
Geautomatiseerde omgeving voor certificaatbeheer (ACME) is een standaardprotocol voor geautomatiseerde domeinvalidatie en installatie van X.509-certificaten, gedocumenteerd in IETF-RFC 8555. Als een goed gedocumenteerde standaard met veel open source client implementatiesACME biedt IoT-leveranciers een pijnloze manier om apparaten zoals modems en routers automatisch te voorzien van openbaar of particulier vertrouwde eindentiteitscertificaten en deze certificaten na verloop van tijd up-to-date te houden.
SSL.com biedt onze zakelijke klanten nu de mogelijkheid om hun apparaten rechtstreeks te laten communiceren met een speciale, beheerde ACME-ondersteuning afgevende CA, met de volgende voordelen:
- Automatische domeinvalidatie en certificaatverlenging.
- Continu SSL /TLS dekking vermindert administratieve hoofdpijn.
- Verhoogt de beveiliging door kortere certificaatlevensduur van eindentiteiten.
- Certificaatintrekking beheren
- Gevestigd, goed gedocumenteerd IETF-standaardprotocol.
- Openbaar of particulier vertrouwen beschikbaar.
Hoe ACME werkt
Wanneer een voor ACME geschikt IoT-apparaat is verbonden met internet en de afgifte of verlenging van certificaten moet aanvragen, genereert de ingebouwde ACME-clientsoftware een cryptografisch sleutelpaar en aanvraag voor certificaatondertekening (CSR) op het apparaat. De CSR wordt verzonden naar een technisch ingehouden uitgevende CA, die een ondertekend certificaat retourneert. De ACME-client zorgt vervolgens voor de installatie van het certificaat.
Het CA / Browser Forum Basisvereisten definiëren een Technisch beperkt CA-certificaat as
Een ondergeschikt CA-certificaat dat een combinatie van instellingen voor uitgebreid sleutelgebruik en instellingen voor naambeperking gebruikt om de reikwijdte te beperken waarbinnen het ondergeschikte CA-certificaat abonnees of aanvullende ondergeschikte CA-certificaten mag afgeven.
Een gehoste uitgevende CA kan bijvoorbeeld technisch beperkt zijn om eindentiteit SSL /TLS certificaten voor een beperkte set domeinnamen die eigendom zijn van de IoT-leverancier voor gebruik op zijn draadloze routers. De router zou dan een ondertekend certificaat aanvragen dat een domeinnaam als deze associeert config.company.com naar het IP-adres van de router op zijn lokale netwerk. Met het certificaat kunnen gebruikers HTTPS-verbindingen maken met de router met die URL in plaats van een IP-adres in te voeren (bijv 192.168.1.1). Het belangrijkste voor beveiliging is dat een unieke privésleutel veilig wordt gegenereerd en opgeslagen op elk apparaat en op elk moment kan worden vervangen.
