SSL /TLS Automatyzacja dla Internetu przedmiotów (IoT)

Gdyby zabezpieczenie Internetu rzeczy (IoT) było proste i nieskomplikowane, nie czytalibyśmy co tydzień głośnych artykułów o routery z odsłoniętymi kluczami prywatnymi i naruszone domowe kamery bezpieczeństwa. Nic dziwnego, że przy takich wiadomościach wielu konsumentów nadal jest podejrzliwych wobec urządzeń podłączonych do Internetu. Oczekuje się, że liczba urządzeń IoT przekroczy 38 mld w 2020 r. (prawie trzykrotny wzrost dopiero od 2015 r.), a nadszedł czas, aby producenci i dostawcy poważnie podeszli do kwestii bezpieczeństwa.

SSL.com jest tutaj, aby Ci w tym pomóc! Jako publicznie zaufany urząd certyfikacji (CA) i członek CA / Browser Forum, SSL.com ma głęboką wiedzę i sprawdzoną technologię potrzebną do pomocy producentom w zabezpieczaniu ich urządzeń IoT i IIoT (Industrial Internet of Things) najlepszymi w swojej klasie infrastruktura klucza publicznego (PKI), automatyzacja, zarządzanie i monitorowanie.

Jeśli potrzebujesz wydawać i zarządzać tysiącami (a nawet setkami tysięcy) zaufanych publicznie lub prywatnie X.509 certyfikaty dla urządzeń podłączonych do Internetu, SSL.com ma wszystko, czego potrzebujesz.

Przejdź do góry

Przykład: Zabezpieczanie routera bezprzewodowego

Jako prostą ilustrację opiszemy scenariusz z typowym urządzeniem wbudowanym - domowym routerem bezprzewodowym. Prawdopodobnie wiesz wszystko o tym, jak można zalogować się do jednego z nich; wpisz coś w stylu http://10.254.255.1 do przeglądarki (jeśli ją pamiętasz), być może kliknij ostrzeżenie dotyczące bezpieczeństwa, a następnie miej nadzieję, że nikt nie będzie szpiegował podczas wprowadzania danych logowania. Na szczęście producenci Internetu Rzeczy mogą teraz oferować swoim klientom znacznie wygodniejsze - a co ważniejsze - bezpieczne - korzystanie z narzędzi i technologii oferowanych przez SSL.com.

W naszym przykładowym scenariuszu producent chce umożliwić swoim klientom bezpieczne łączenie się z interfejsem administratora routera za pośrednictwem HTTPS, nie HTTP. Firma chce również umożliwić klientom korzystanie z łatwej do zapamiętania nazwy domeny (router.example.com), zamiast domyślnego lokalnego adresu IP urządzenia (192.168.1.1). SSL /TLS certyfikat zabezpieczający wewnętrzny serwer sieciowy routera publicznie zaufanylub użytkownicy będą napotykać komunikaty o błędach bezpieczeństwa w swoich przeglądarkach. Kolejną komplikacją jest to, że każdy publicznie zaufany SSL /TLS certyfikat ma zakodowany okres ważności po wydaniu (obecnie skutecznie ograniczany przez zasady przeglądarki do około roku). Z powodu tego ograniczenia producent musi zapewnić środki umożliwiające zdalną wymianę certyfikatu bezpieczeństwa urządzenia, gdy jest to konieczne. Wreszcie producent chciałby robić wszystkie te rzeczy przy minimalnych lub zerowych niedogodnościach dla swoich klientów.

Współpracując z SSL.com, producent może podjąć następujące kroki, aby wyposażyć wewnętrzny serwer WWW każdego routera w publicznie zaufany, sprawdzony w domenie (DV) SSL /TLS certyfikat:

  1. Producent tworzy DNS A rekordy kojarzące żądaną nazwę domeny (router.example.com) i symbol wieloznaczny (*.router.example.com) na wybrany lokalny adres IP (192.168.1.1).
  2. Producent wykazuje kontrolę nad swoją podstawową nazwą domeny (example.com) do SSL.com za pośrednictwem odpowiedniego walidacja domeny (DV) metoda (w tym przypadku odpowiedni byłby kontakt e-mail lub wyszukiwanie CNAME).
  3. Korzystanie z technicznie ograniczonego wydawania wydanego przez SSL.com podrzędny urząd certyfikacji (lub SubCA) (skontaktuj się z nami aby uzyskać więcej informacji o tym, jak uzyskać własne ograniczone technicznie wystawianie podrzędnego urzędu certyfikacji), firma jest w stanie wydać publicznie zaufany certyfikat SSL /TLS certyfikaty potwierdzonych nazw domen routera. W naszym przykładzie będziemy się trzymać router.example.com, ale w zależności od przypadku użycia może to być również symbol wieloznaczny, na przykład *.router.example.com. Symbol wieloznaczny umożliwi wydawanie certyfikatów obejmujących takie subdomeny www.router.example.com or mail.router.example.com.
  4. Podczas produkcji każde urządzenie jest zaopatrywane w unikalną parę kluczy kryptograficznych i publicznie zaufany DV SSL /TLS certyfikat ochrony router.example.com.
  5. Gdy klient po raz pierwszy podłącza urządzenie do Internetu, możliwe są dwa scenariusze:
    1. Dołączony certyfikat SSL /TLS świadectwo nie ma wygasł od momentu produkcji. W takim przypadku użytkownik może po prostu połączyć się bezpośrednio z panelem sterowania routera pod adresem https://router.example.com/ za pomocą przeglądarki internetowej i nie wystąpią żadne błędy zaufania przeglądarki.
    2. Dołączony certyfikat SSL /TLS świadectwo ma wygasł od momentu produkcji. Wygasający certyfikat należy zastąpić nowo wydanym. W zależności od możliwości urządzenia i preferencji producenta, urządzenie może teraz:
      1. Wygeneruj nową parę kluczy i żądanie podpisania certyfikatu wewnętrznie, a następnie prześlij je do ograniczonego SubCA w celu podpisania. SubCA zwróci następnie podpisany SSL /TLS certyfikat.
      2. Wyślij prośbę o nową parę kluczy i CSR które zostaną wygenerowane w zewnętrznym systemie zarządzania kluczami, podpisanym przez SubCA i dostarczonym do urządzenia.
  6. Gdy dla urządzenia potrzebny jest nowy certyfikat, poświadczenia logowania użytkownika, dołączony certyfikat klienta i / lub proces poświadczania klucza mogą zostać użyte do uwierzytelnienia urządzenia za pomocą ograniczonego SubCA.
  7. W okresie eksploatacji urządzenia jego SSL /TLS certyfikat będzie zastępowany przed upływem terminu, w regularnych odstępach czasu. W ten sposób użytkownik będzie miał ciągły dostęp przez HTTPS przez cały okres użytkowania urządzenia.
Przejdź do góry

Opcje automatyzacji IoT

SSL.com oferuje producentom urządzeń IoT wiele potężnych narzędzi do automatyzacji i zarządzania do pracy z ich niestandardowymi SSL.com wystawiający CA:

  • Interfejs API SSL Web Services (SWS): Zautomatyzuj każdy aspekt wydawania certyfikatów i ich cyklu życia dzięki SSL.com RESTful API.
  • Protokół ACME: KULMINACJA jest ustalonym, standardowym protokołem do sprawdzania poprawności domeny i zarządzania certyfikatami z wieloma implementacjami klienta typu open source.

I bez względu na to, która technologia automatyzacji (lub połączenie technologii) jest najbardziej odpowiednia w danej sytuacji, producenci i dostawcy będą mieli dostęp do najnowocześniejszych narzędzi do zarządzania i monitorowania wydawania certyfikatów, ich cyklu życia i unieważniania na swoich urządzeniach. Każde nowe urządzenie Iot i IIoT stwarza własne, unikalne wyzwania, a SSL.com jest gotowy, chętny i zdolny do współpracy z producentami w celu stworzenia zoptymalizowanych rozwiązań do dostarczania ich urządzeniom z publicznie lub prywatnie zaufanymi certyfikatami X.509. Jeśli łączy się z Internetem, możemy pomóc Ci go zabezpieczyć!

Dziękujemy za odwiedzenie strony SSL.com! Jeśli chcesz dowiedzieć się więcej o tym, jak SSL.com może pomóc w zabezpieczeniu urządzeń IoT i IIoT, skontaktuj się z nami przez e-mail na Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij link czatu w prawym dolnym rogu tej strony.

 

Zespół wsparcia SSL.com

Autor - administrator treści
Wszystkie Posty

Powiązane artykuły

Zobacz wszystkie artykuły
Facebook youtube Twitter Github

Subskrybuj biuletyn SSL.com

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę