Hvis å sikre tingenes internett (IoT) var enkelt og greit, ville vi ikke lese høyt profilerte historier hver uke om rutere med utsatte private nøkler og brøt sikkerhetskameraer hjemme. Med nyheter som dette er det ikke rart at mange forbrukere fortsatt er mistenkelige for internettkoblede enheter. Antall IoT-enheter forventes å nå over 38 milliarder i 2020 (en nesten tredoblet økning nettopp siden 2015), og tiden er inne for at produsenter og leverandører tar alvorlig sikkerhet.
SSL.com er her for å hjelpe deg med å få det gjort! Som en offentlig pålitelig sertifiseringsmyndighet (CA) og medlem av CA / Browser Forum har SSL.com den dype ekspertisen og den påviste teknologien som trengs for å hjelpe produsenter med å sikre sine IoT- og IIoT-enheter (Industrial Internet of Things) med den beste i klassen. offentlig nøkkelinfrastruktur (PKI), automatisering, styring og overvåking.
Hvis du trenger å utstede og administrere tusenvis (eller til og med hundretusener) offentlig eller privat klarert X.509 sertifikater for internettkoblede enheter, har SSL.com alt du trenger.
Eksempel: Sikring av en trådløs ruter
Som en enkel illustrasjon vil vi beskrive et scenario med en typisk innebygd enhet - en trådløs hjemme-ruter. Du vet sannsynligvis alt om hvordan du kan logge på en av disse; du skriver noe sånt http://10.254.255.1
inn i nettleseren din (hvis du kan huske det), kan du klikke deg gjennom en sikkerhetsadvarsel, og så håpe ingen sniker når du skriver inn påloggingsinformasjonen din. Heldigvis kan IoT-produsenter nå tilby sine kunder en mye mer praktisk - og enda viktigere, sikker - opplevelse gjennom verktøyene og teknologien som tilbys av SSL.com.
I vårt eksempelscenario ønsker en produsent å la kundene koble seg til ruteren sin administrasjonsgrensesnitt sikkert via HTTPS, ikke HTTP. Selskapet ønsker også å la kundene bruke et lett å huske domenenavn (router.example.com
), i stedet for enhetens standard lokale IP-adresse (192.168.1.1
). SSL /TLS sertifikat som beskytter rutens interne webserver må være offentlig klarert, eller brukere vil møte sikkerhetsfeilmeldinger i nettleserne. Nok en komplikasjon er at hver offentlig pålitelige SSL /TLS sertifikatet har en hardkodet levetid ved utstedelse (for tiden effektivt begrenset av nettleserretningslinjer til omtrent et år). På grunn av denne begrensningen, må produsenten inkludere et middel for å bytte ut enhetens sikkerhetssertifikat eksternt når det er nødvendig. Til slutt vil produsenten gjerne gjøre alle disse tingene med minimal eller ingen ulempe for kundene.
I samarbeid med SSL.com kan produsenten ta følgende trinn for å forsyne hver ruters interne webserver med en offentlig klarert, domenevalidert (DV) SSL /TLS sertifikat:
- Produsenten lager DNS A poster som knytter ønsket domenenavn (
router.example.com
) og et jokertegn (*.router.example.com
) til den valgte IP-adressen (192.168.1.1
). - Produsenten demonstrerer kontrollen av basisdomenenavnet (
example.com
) til SSL.com gjennom en gjeldende domenevalidering (DV) metode (i dette tilfellet vil enten e-postkontakt eller CNAME-oppslag være passende). - Bruker en SSL.com-utstedt teknisk begrenset utstedelse underordnet CA (eller SubCA) (kontakt oss for mer informasjon om hvordan du får din egen underordnede utstedende CA, kan selskapet utstede offentlig pålitelig SSL /TLS sertifikater for dets validerte ruterens domenenavn (er). Som eksempel vil vi holde oss til
router.example.com
, men avhengig av brukssak kan dette også være et jokertegn, som*.router.example.com
. Jokertegnene tillater utstedelse av sertifikater som dekker underdomener somwww.router.example.com
ormail.router.example.com
. - Under produksjonen er hver enhet utstyrt med et unikt kryptografisk nøkkelpar og offentlig pålitelig DV SSL /TLS sertifikatbeskyttelse
router.example.com
. - Når en kunde først kobler enheten til internett, er to scenarier mulige:
- Inkludert SSL /TLS sertifikat har ikke utgått siden produksjonen. I dette tilfellet kan brukeren bare koble direkte til ruteren kontrollpanel på
https://router.example.com/
med en nettleser, og vil ikke oppleve tillitsfeil i nettleseren. - Inkludert SSL /TLS sertifikat har utgått siden produksjonen. Et utløpsbevis må erstattes av et nylig utstedt sertifikat. Avhengig av funksjonene til enheten og produsentens preferanser, kan enheten nå enten:
- Generer et nytt nøkkelpar og sertifikatsigneringsforespørsel internt, og send det deretter til deres begrensede SubCA for signering. SubCA vil da returnere en signert SSL /TLS sertifikat.
- Send en forespørsel om et nytt nøkkelpar og CSR som vil bli generert i et eksternt nøkkelstyringssystem, signert av SubCA, og levert til enheten.
- Inkludert SSL /TLS sertifikat har ikke utgått siden produksjonen. I dette tilfellet kan brukeren bare koble direkte til ruteren kontrollpanel på
- Når et nytt sertifikat er nødvendig for enheten, kan brukerens påloggingsinformasjon, et inkludert klientsertifikat og / eller nøkkelattestasjonsprosess brukes til å autentisere enheten med den begrensede SubCA.
- I løpet av enhetens levetid er SSL /TLS sertifikatet vil bli erstattet før utløpet, med jevne mellomrom. På denne måten vil brukeren ha kontinuerlig tilgang via HTTPS i løpet av enhetens levetid.
IoT-automatiseringsalternativer
SSL.com tilbyr IoT-enhetsprodusenter flere kraftige automatiserings- og administrasjonsverktøy for å jobbe med deres tilpassede SSL.com utsteder CA:
- SSL Web Services (SWS) API: Automatiser alle aspekter av sertifikatutstedelse og livssyklus med SSL.com RESTful API.
- ACME-protokoll: ACME er en etablert standardprotokoll for domenevalidering og sertifikathåndtering med mange implementeringer av åpen kildekode.
Og uansett hvilken automatiseringsteknologi (eller miks av teknologier) som er mest hensiktsmessig for en gitt situasjon, vil produsenter og leverandører ha tilgang til moderne verktøy for å administrere og overvåke sertifikatutstedelse, livssyklus og tilbakekalling på enhetene sine. Hver nye Iot- og IIoT-enhet gir sine egne unike utfordringer, og SSL.com er klar, villig og i stand til å samarbeide med produsenter for å lage optimaliserte løsninger for å forsyne enhetene sine med offentlig eller privat klarerte X.509-sertifikater. Hvis den kobles til internett, kan vi hjelpe deg med å sikre det!