Obecnie często pojawiają się wiadomości o niepewnych praktykach Internetu rzeczy (IoT), takich jak klucze prywatne wbudowane w oprogramowanie układowe urządzenia do pobrania i łatwo dostępne dla atakujących. Potencjalni klienci IoT i IIoT (przemysłowego Internetu rzeczy) słusznie martwią się o bezpieczeństwo, ale nie musi tak być!
Z niestandardowym, obsługującym ACME wystawiający CA (znany również jako podrzędny urząd certyfikacji or SubCA) z SSL.com, dostawcy IoT i IIoT mogą łatwo zarządzać i automatyzować walidację, instalację, odnawianie i unieważnianie SSL /TLS certyfikaty dla urządzeń obsługujących ACME. Dzięki ACME klucze prywatne będą bezpiecznie generowane i przechowywane na samym urządzeniu, co eliminuje potrzebę stosowania niebezpiecznych procedur obsługi kluczy.
Co to jest ACME i jak może współpracować z IoT?
Zautomatyzowane środowisko zarządzania certyfikatami (ACME) jest standardowym protokołem do automatycznej weryfikacji domeny i instalacji certyfikatów X.509, udokumentowanym w Dokument IETF RFC 8555. Jako dobrze udokumentowany standard z wieloma otwartymi źródłami wdrożenia klienta, ACME oferuje dostawcom Internetu Rzeczy bezbolesny sposób automatycznego dostarczania urządzeń, takich jak modemy i routery, publicznie lub prywatnie certyfikowanym podmiotom końcowym i aktualizowania tych certyfikatów w miarę upływu czasu.
SSL.com oferuje teraz naszym klientom korporacyjnym możliwość bezpośredniego interfejsu urządzeń z dedykowanym, zarządzanym, obsługującym ACME wystawiający CA, oferując następujące korzyści:
- Automatyczne sprawdzanie poprawności domeny i odnawianie certyfikatu.
- Ciągły SSL /TLS zasięg zmniejsza administracyjne problemy.
- Zwiększa bezpieczeństwo dzięki krótszemu okresowi ważności certyfikatu encji końcowej.
- Zarządzaj odwołaniem certyfikatu
- Ustanowiony, dobrze udokumentowany standardowy protokół IETF.
- Dostępne zaufanie publiczne lub prywatne.
Jak działa ACME
Gdy urządzenie IoT z obsługą ACME jest podłączone do Internetu i musi zażądać wystawienia lub odnowienia certyfikatu, wbudowane oprogramowanie klienta ACME generuje parę kluczy kryptograficznych i żądanie podpisania certyfikatu (CSR) na urządzeniu. The CSR jest wysyłany do urzędu certyfikacji z ograniczeniami technicznymi, który zwraca podpisany certyfikat. Klient ACME obsługuje następnie instalację certyfikatu.
Forum CA / Browser Wymagania podstawowe zdefiniować Technicznie ograniczony certyfikat CA as
Certyfikat podległego urzędu certyfikacji, który wykorzystuje kombinację ustawień rozszerzonego użycia klucza i ustawień ograniczenia nazwy w celu ograniczenia zakresu, w jakim certyfikat podległego urzędu certyfikacji może wydawać subskrybentowi lub dodatkowe certyfikaty podrzędnego urzędu certyfikacji.
Na przykład hostowany wydający urząd certyfikacji może być technicznie ograniczony do wydawania SSL dla jednostki końcowej /TLS certyfikaty dla ograniczonego zestawu nazw domen należących do dostawcy IoT do użytku w routerach bezprzewodowych. Router zażąda następnie podpisanego certyfikatu powiązanego z taką nazwą domeny config.company.com
do adresu IP routera w jego sieci lokalnej. Certyfikat umożliwia użytkownikom nawiązywanie połączeń HTTPS z routerem za pomocą tego adresu URL, bez konieczności wpisywania adresu IP (np 192.168.1.1
). Najważniejsze dla bezpieczeństwa, unikalny klucz prywatny jest bezpiecznie generowany i przechowywany na każdym urządzeniu i można go w dowolnym momencie wymienić.