I disse dager er det vanlig å se nyheter om usikker Internet of Things (IoT) -praksis som f.eks private nøkler innebygd i nedlastbar enhets firmware og lett tilgjengelig for angripere. Potensielle IoT- og IIoT-kunder (Industrial Internet of Things) er med rette bekymret for sikkerhet, men det trenger ikke være slik!
Med en tilpasset, ACME-aktivert utsteder CA (også kjent som en underordnet CA or SubCA) fra SSL.com, kan IoT- og IIoT-leverandører enkelt administrere og automatisere validering, installasjon, fornyelse og tilbakekalling av SSL /TLS sertifikater på enheter som kan ACME. Med ACME vil private nøkler bli generert og lagret på selve enheten, noe som eliminerer behov for usikker nøkkelhåndteringspraksis.
Hva er ACME, og hvordan kan det fungere med IoT?
Automatisert sertifikathåndteringsmiljø (ACME) er en standard protokoll for automatisert domenevalidering og installasjon av X.509-sertifikater, dokumentert i IETF RFC 8555. Som en veldokumentert standard med mange open-source klient implementeringer, ACME tilbyr IoT-leverandører en smertefri måte å automatisk skaffe til veie enheter som modemer og rutere med offentlig eller privat betrodd slutt entitetssertifikater og holde disse sertifikatene oppdatert over tid.
SSL.com tilbyr nå bedriftskundene muligheten til å ha enhetene sine grensesnitt direkte med en dedikert, administrert ACME-aktivert utsteder CA, som tilbyr følgende fordeler:
- Automatisk domenevalidering og fornyelse av sertifikat.
- Kontinuerlig SSL /TLS dekning reduserer administrativ hodepine.
- Øker sikkerheten gjennom kortere levetid for sertifikater fra sluttvirksomheten.
- Administrer tilbakekall av sertifikater
- Etablert, veldokumentert IETF standardprotokoll.
- Offentlig eller privat tillit tilgjengelig.
Slik fungerer ACME
Når en ACME-aktivert IoT-enhet er koblet til internett og trenger å be om utstedelse eller fornyelse av sertifikat, genererer den innebygde ACME-klientprogramvaren et kryptografisk nøkkelpar og sertifikatsigneringsforespørsel (CSR) på enheten. De CSR sendes til en teknisk behersket utstedende CA, som returnerer et signert sertifikat. ACME-klienten håndterer deretter sertifikatinstallasjon.
CA / nettleserforum Baseline Krav definere en Teknisk begrenset CA-sertifikat as
Et underordnet CA-sertifikat som bruker en kombinasjon av innstillinger for utvidet nøkkelbruk og innstillinger for navnebegrensning for å begrense omfanget underordnet CA-sertifikat kan utstede abonnent eller ytterligere underordnede CA-sertifikater.
For eksempel kan en vertsutstedende CA være teknisk begrenset til å utstede SSL /TLS sertifikater for et begrenset sett av domenenavn som eies av IoT-leverandøren for bruk på dets trådløse rutere. Ruteren vil deretter be om et signert sertifikat som knytter et domenenavn som config.company.com
til ruterens IP-adresse på det lokale nettverket. Sertifikatet tillater brukere å opprette HTTPS-tilkoblinger til ruteren med den URL-en i stedet for å måtte angi en IP-adresse (f.eks 192.168.1.1
). Viktigst for sikkerhet er en unik privat nøkkel generert og lagret på hver enhet og kan erstattes når som helst.