SSL /TLS Автоматизация для Интернета вещей (IoT)

Если бы защита Интернета вещей (IoT) была простой и понятной, мы бы не читали каждую неделю громкие истории о маршрутизаторы с открытыми закрытыми ключами и взломали камеры видеонаблюдения. Учитывая такие новости, неудивительно, что многие потребители по-прежнему с подозрением относятся к устройствам, подключенным к Интернету. Ожидается, что количество устройств Интернета вещей превысит 38 млрд штук. в 2020 году (почти в три раза больше, чем в 2015 году), и для производителей и поставщиков настало время серьезно задуматься о безопасности.

SSL.com здесь, чтобы помочь вам в этом! Являясь общественно-доверенным центром сертификации (CA) и членом CA / Browser Forum, SSL.com обладает обширным опытом и проверенными технологиями, необходимыми для помощи производителям в защите своих устройств IoT и IIoT (Industrial Internet of Things) с помощью лучших в своем классе инфраструктура открытых ключей (PKI), автоматизация, управление и мониторинг.

Если вам нужно выпускать и управлять тысячами (или даже сотнями тысяч) публично или частным образом доверенных X.509 сертификаты для ваших подключенных к Интернету устройств, SSL.com имеет все, что вам нужно.

Пример: защита беспроводного маршрутизатора

В качестве простой иллюстрации мы опишем сценарий с типичным встроенным устройством - домашним беспроводным маршрутизатором. Вы, наверное, знаете все о том, каким может быть вход в один из них; ты набираешь что-то вроде http://10.254.255.1 в свой браузер (если вы его помните), может быть, щелкните предупреждение системы безопасности, а затем надейтесь, что никто не отслеживает, когда вы вводите свои учетные данные. К счастью, производители Интернета вещей теперь могут предложить своим клиентам гораздо более удобный и, что более важно, безопасный опыт с помощью инструментов и технологий, предлагаемых SSL.com.

В нашем примере сценария производитель хочет позволить своим клиентам безопасно подключаться к интерфейсу администратора своего маршрутизатора через HTTPS, а не HTTP. Компания также хочет позволить клиентам использовать легко запоминающееся доменное имя (router.example.com), а не локальный IP-адрес устройства по умолчанию (192.168.1.1). SSL /TLS сертификат, защищающий внутренний веб-сервер маршрутизатора, должен быть публично доверенный, или пользователи будут сталкиваться с сообщениями об ошибках безопасности в своих браузерах. Еще одна сложность заключается в том, что каждый публично доверенный SSL /TLS Срок действия сертификата при его выдаче ограничен (в настоящее время он ограничен политика браузера примерно до года). Из-за этого ограничения производитель должен включать средства для удаленной замены сертификата безопасности устройства, когда это необходимо. Наконец, производитель хотел бы сделать все это с минимальными неудобствами для своих клиентов или без них.

Работая с SSL.com, производитель может предпринять следующие шаги для обеспечения внутреннего веб-сервера каждого маршрутизатора общедоступным, подтвержденным доменом (DV) SSL /TLS сертификат:

1. Производитель создает DNS A записи, связывающие желаемое доменное имя (router.example.com) и подстановочный знак (*.router.example.com) на выбранный локальный IP-адрес (192.168.1.1).
2. Производитель демонстрирует контроль над своим базовым доменным именем (example.com) на SSL.com через соответствующий проверка домена (DV) метод (в этом случае подойдет контакт электронной почты или поиск CNAME).
3. Использование выдачи SSL.com с техническими ограничениями подчиненный ЦС (или SubCA) (Контакты для получения дополнительной информации о том, как получить собственный выпускающий подчиненный ЦС с техническими ограничениями), компания может выпустить общедоступный доверенный SSL /TLS сертификаты для его проверенных доменных имен маршрутизатора. Для нашего примера мы будем придерживаться router.example.com, но в зависимости от варианта использования это также может быть подстановочный знак, такой как *.router.example.com, Подстановочный знак позволит выпускать сертификаты, охватывающие субдомены, такие как www.router.example.com or mail.router.example.com.
4. Во время производства каждому устройству предоставляется уникальная пара криптографических ключей и общедоступный протокол DV SSL /TLS защита сертификата router.example.com.
5. Когда клиент впервые подключает устройство к Интернету, возможны два сценария:
   1. Включенный SSL /TLS сертификат не истек с момента изготовления. В этом случае пользователь может просто подключиться напрямую к панели управления маршрутизатора на https://router.example.com/ с веб-браузером, и не будет никаких ошибок доверия браузера.
   2. Включенный SSL /TLS сертификат и истек с момента изготовления. Сертификат с истекающим сроком действия необходимо заменить новым выданным. В зависимости от возможностей устройства и предпочтений производителя теперь устройство может:
      1. Сгенерируйте новую пару ключей и запрос на подпись сертификата внутри, а затем отправьте его в ограниченный SubCA для подписи. Затем SubCA вернет подписанный SSL /TLS сертификат.
      2. Выдать запрос на новую пару ключей и CSR это будет сгенерировано во внешней системе управления ключами, подписано SubCA и доставлено на устройство.
6. Когда для устройства требуется новый сертификат, учетные данные пользователя, включенный сертификат клиента и / или процесс аттестации ключа могут использоваться для аутентификации устройства с помощью ограниченного SubCA.
7. В течение срока службы устройства его SSL /TLS Сертификат будет заменен до истечения срока, на регулярной основе. Таким образом, пользователь будет пользоваться непрерывным доступом через HTTPS в течение всего срока службы устройства.

Параметры автоматизации IoT

SSL.com предлагает производителям устройств Интернета вещей несколько мощных инструментов автоматизации и управления для работы с их настраиваемым SSL.com. выдающий CA:

• API веб-служб SSL (SWS): Автоматизируйте все аспекты выпуска сертификатов и жизненного цикла с помощью SSL.com API RESTful.
• Протокол ACME: ACME является установленным стандартным протоколом для проверки домена и управления сертификатами со многими реализациями клиента с открытым исходным кодом.

И независимо от того, какая технология автоматизации (или сочетание технологий) наиболее подходит для данной ситуации, производители и поставщики будут иметь доступ к современным инструментам для управления и мониторинга выпуска сертификатов, жизненного цикла и отзыва сертификатов на своих устройствах. Каждое новое устройство Iot и IIoT представляет свои уникальные задачи, и SSL.com готов, желает и может работать с производителями для создания оптимизированных решений для обеспечения их устройств общедоступными или частными сертификатами X.509. Если он подключается к Интернету, мы можем помочь вам защитить его!