Se proteger a Internet das Coisas (IoT) fosse simples e direto, não estaríamos lendo histórias de alto perfil todas as semanas sobre roteadores com chaves privadas expostas e câmeras de segurança doméstica violadas. Com notícias como essa, não é de se admirar que muitos consumidores ainda suspeitem de dispositivos conectados à Internet. O número de dispositivos IoT deverá atingir mais de 38 bilhões em 2020 (um aumento quase triplo desde 2015), e chegou a hora de fabricantes e fornecedores levarem a sério a segurança.
SSL.com está aqui para ajudá-lo a fazer isso! Como autoridade de certificação (CA) publicamente confiável e membro do CA / Browser Forum, SSL.com tem profundo conhecimento e tecnologia comprovada necessária para ajudar os fabricantes a proteger seus dispositivos IoT e IIoT (Internet das coisas industriais) com os melhores da classe infraestrutura de chave pública (PKI), automação, gerenciamento e monitoramento.
Se você precisar emitir e gerenciar milhares (ou mesmo centenas de milhares) de produtos de confiança pública ou privada X.509 certificados para seus dispositivos conectados à Internet, SSL.com tem tudo que você precisa.
Exemplo: Protegendo um roteador sem fio
Como uma ilustração simples, descreveremos um cenário com um dispositivo incorporado típico - um roteador sem fio doméstico. Você provavelmente sabe tudo sobre como pode ser fazer o login em um deles; você digita algo como http://10.254.255.1
em seu navegador (se você se lembrar), talvez clique em um aviso de segurança e espere que ninguém esteja bisbilhotando quando você inserir suas credenciais de login. Felizmente, os fabricantes de IoT agora podem oferecer a seus clientes uma experiência muito mais conveniente - e, mais importante, segura - por meio das ferramentas e da tecnologia oferecidas por SSL.com.
Em nosso cenário de exemplo, um fabricante deseja permitir que seus clientes se conectem à interface de administração do roteador com segurança por meio de HTTPS, não HTTP. A empresa também deseja permitir que os clientes usem um nome de domínio fácil de lembrar (router.example.com
), em vez do endereço IP local padrão do dispositivo (192.168.1.1
) O SSL /TLS certificado que protege o servidor web interno do roteador deve ser publicamente confiável, ou os usuários enfrentarão mensagens de erro de segurança em seus navegadores. Ainda outra complicação é que cada SSL / confiável publicamenteTLS certificado tem uma vida útil codificada durante a emissão (atualmente efetivamente limitada por políticas do navegador a cerca de um ano). Por causa dessa limitação, o fabricante deve incluir um meio para substituir remotamente o certificado de segurança de um dispositivo quando necessário. Finalmente, o fabricante gostaria de fazer todas essas coisas com o mínimo ou nenhum inconveniente para seus clientes.
Trabalhando com SSL.com, o fabricante pode realizar as seguintes etapas para provisionar o servidor da web interno de cada roteador com um SSL / de domínio validado publicamente (DV)TLS certificado:
- O fabricante cria DNS A registros associando o nome de domínio desejado (
router.example.com
) e um curinga (*.router.example.com
) para o endereço IP local escolhido (192.168.1.1
). - O fabricante demonstra o controle de seu nome de domínio base (
example.com
) para SSL.com por meio de um aplicável validação de domínio (DV) método (nesse caso, o contato por email ou a pesquisa CNAME seria apropriado). - Usando uma emissão tecnicamente restrita emitida por SSL.com autoridade de certificação subordinada (ou SubCA) (Contacte-nos para obter mais informações sobre como obter sua própria CA subordinada de emissão com restrições técnicas), a empresa é capaz de emitir SSL /TLS certificados para seus nomes de domínio de roteador validados. Para o nosso exemplo, ficaremos com
router.example.com
, mas, dependendo do caso de uso, isso também pode ser um curinga, como*.router.example.com
. O curinga permitiria a emissão de certificados cobrindo subdomínios comowww.router.example.com
ormail.router.example.com
. - Durante a fabricação, cada dispositivo é fornecido com um par de chaves criptográficas exclusivo e DV SSL / confiável publicamenteTLS certificado de proteção
router.example.com
. - Quando um cliente primeiro conecta o dispositivo à Internet, dois cenários são possíveis:
- O SSL incluído /TLS certificado não tem expirou desde a fabricação. Neste caso, o usuário pode simplesmente conectar-se diretamente ao painel de controle do roteador em
https://router.example.com/
com um navegador da web e não apresentará erros de confiança no navegador. - O SSL incluído /TLS certificado tem expirou desde a fabricação. Um certificado expirado deve ser substituído por um recém-emitido. Dependendo dos recursos do dispositivo e das preferências do fabricante, o dispositivo agora pode:
- Gere um novo par de chaves e solicitação de assinatura de certificado internamente e, em seguida, envie-o ao SubCA restrito para assinatura. O SubCA irá então retornar um SSL /TLS certificado.
- Emita uma solicitação para um novo par de chaves e CSR isso será gerado em um sistema de gerenciamento de chaves externo, assinado pela SubCA e entregue ao dispositivo.
- O SSL incluído /TLS certificado não tem expirou desde a fabricação. Neste caso, o usuário pode simplesmente conectar-se diretamente ao painel de controle do roteador em
- Quando um novo certificado é necessário para o dispositivo, as credenciais de login do usuário, um certificado de cliente incluído e / ou processo de atestado de chave podem ser usados para autenticar o dispositivo com o SubCA restrito.
- Durante a vida útil do dispositivo, é SSL /TLS o certificado será substituído antes do vencimento, em intervalos regulares. Dessa forma, o usuário desfrutará de acesso contínuo via HTTPS por toda a vida útil do dispositivo.
Opções de automação da Internet das coisas
SSL.com oferece aos fabricantes de dispositivos IoT várias ferramentas poderosas de automação e gerenciamento para trabalhar com SSL.com personalizado CA de emissão:
- API SSL Web Services (SWS): Automatize todos os aspectos da emissão e do ciclo de vida do certificado com SSL.com API RESTful.
- Protocolo ACME: ACME é um protocolo padrão estabelecido para validação de domínio e gerenciamento de certificados com muitas implementações de clientes de código aberto.
E não importa qual tecnologia de automação (ou combinação de tecnologias) seja mais apropriada para uma determinada situação, os fabricantes e fornecedores terão acesso a ferramentas de última geração para gerenciar e monitorar a emissão, o ciclo de vida e a revogação de certificados em seus dispositivos. Cada novo dispositivo Iot e IIoT apresenta seus próprios desafios únicos, e SSL.com está pronto, disposto e capaz de trabalhar com fabricantes para criar soluções otimizadas para fornecer a seus dispositivos certificados X.509 públicos ou privados confiáveis. Se ele se conectar à Internet, podemos ajudá-lo a protegê-lo!