Если бы защита Интернета вещей (IoT) была простой и понятной, мы бы не читали каждую неделю громкие истории о маршрутизаторы с открытыми закрытыми ключами и взломали камеры видеонаблюдения. Учитывая такие новости, неудивительно, что многие потребители по-прежнему с подозрением относятся к устройствам, подключенным к Интернету. Ожидается, что количество устройств Интернета вещей превысит 38 млрд штук. в 2020 году (почти в три раза больше, чем в 2015 году), и для производителей и поставщиков настало время серьезно задуматься о безопасности.
SSL.com здесь, чтобы помочь вам в этом! Являясь общественно-доверенным центром сертификации (CA) и членом CA / Browser Forum, SSL.com обладает обширным опытом и проверенными технологиями, необходимыми для помощи производителям в защите своих устройств IoT и IIoT (Industrial Internet of Things) с помощью лучших в своем классе инфраструктура открытых ключей (PKI), автоматизация, управление и мониторинг.
Если вам нужно выпускать и управлять тысячами (или даже сотнями тысяч) публично или частным образом доверенных X.509 сертификаты для ваших подключенных к Интернету устройств, SSL.com имеет все, что вам нужно.
Пример: защита беспроводного маршрутизатора
В качестве простой иллюстрации мы опишем сценарий с типичным встроенным устройством - домашним беспроводным маршрутизатором. Вы, наверное, знаете все о том, каким может быть вход в один из них; ты набираешь что-то вроде http://10.254.255.1
в свой браузер (если вы его помните), может быть, щелкните предупреждение системы безопасности, а затем надейтесь, что никто не отслеживает, когда вы вводите свои учетные данные. К счастью, производители Интернета вещей теперь могут предложить своим клиентам гораздо более удобный и, что более важно, безопасный опыт с помощью инструментов и технологий, предлагаемых SSL.com.
В нашем примере сценария производитель хочет позволить своим клиентам безопасно подключаться к интерфейсу администратора своего маршрутизатора через HTTPS, а не HTTP. Компания также хочет позволить клиентам использовать легко запоминающееся доменное имя (router.example.com
), а не локальный IP-адрес устройства по умолчанию (192.168.1.1
). SSL /TLS сертификат, защищающий внутренний веб-сервер маршрутизатора, должен быть публично доверенный, или пользователи будут сталкиваться с сообщениями об ошибках безопасности в своих браузерах. Еще одна сложность заключается в том, что каждый публично доверенный SSL /TLS Срок действия сертификата при его выдаче ограничен (в настоящее время он ограничен политика браузера примерно до года). Из-за этого ограничения производитель должен включать средства для удаленной замены сертификата безопасности устройства, когда это необходимо. Наконец, производитель хотел бы сделать все это с минимальными неудобствами для своих клиентов или без них.
Работая с SSL.com, производитель может предпринять следующие шаги для обеспечения внутреннего веб-сервера каждого маршрутизатора общедоступным, подтвержденным доменом (DV) SSL /TLS сертификат:
- Производитель создает DNS A записи, связывающие желаемое доменное имя (
router.example.com
) и подстановочный знак (*.router.example.com
) на выбранный локальный IP-адрес (192.168.1.1
). - Производитель демонстрирует контроль над своим базовым доменным именем (
example.com
) на SSL.com через соответствующий проверка домена (DV) метод (в этом случае подойдет контакт электронной почты или поиск CNAME). - Использование выдачи SSL.com с техническими ограничениями подчиненный ЦС (или SubCA) (Контакты для получения дополнительной информации о том, как получить собственный выпускающий подчиненный ЦС с техническими ограничениями), компания может выпустить общедоступный доверенный SSL /TLS сертификаты для его проверенных доменных имен маршрутизатора. Для нашего примера мы будем придерживаться
router.example.com
, но в зависимости от варианта использования это также может быть подстановочный знак, такой как*.router.example.com
, Подстановочный знак позволит выпускать сертификаты, охватывающие субдомены, такие какwww.router.example.com
ormail.router.example.com
. - Во время производства каждому устройству предоставляется уникальная пара криптографических ключей и общедоступный протокол DV SSL /TLS защита сертификата
router.example.com
. - Когда клиент впервые подключает устройство к Интернету, возможны два сценария:
- Включенный SSL /TLS сертификат не истек с момента изготовления. В этом случае пользователь может просто подключиться напрямую к панели управления маршрутизатора на
https://router.example.com/
с веб-браузером, и не будет никаких ошибок доверия браузера. - Включенный SSL /TLS сертификат и истек с момента изготовления. Сертификат с истекающим сроком действия необходимо заменить новым выданным. В зависимости от возможностей устройства и предпочтений производителя теперь устройство может:
- Сгенерируйте новую пару ключей и запрос на подпись сертификата внутри, а затем отправьте его в ограниченный SubCA для подписи. Затем SubCA вернет подписанный SSL /TLS сертификат.
- Выдать запрос на новую пару ключей и CSR это будет сгенерировано во внешней системе управления ключами, подписано SubCA и доставлено на устройство.
- Включенный SSL /TLS сертификат не истек с момента изготовления. В этом случае пользователь может просто подключиться напрямую к панели управления маршрутизатора на
- Когда для устройства требуется новый сертификат, учетные данные пользователя, включенный сертификат клиента и / или процесс аттестации ключа могут использоваться для аутентификации устройства с помощью ограниченного SubCA.
- В течение срока службы устройства его SSL /TLS Сертификат будет заменен до истечения срока, на регулярной основе. Таким образом, пользователь будет пользоваться непрерывным доступом через HTTPS в течение всего срока службы устройства.
Параметры автоматизации IoT
SSL.com предлагает производителям устройств Интернета вещей несколько мощных инструментов автоматизации и управления для работы с их настраиваемым SSL.com. выдающий CA:
- API веб-служб SSL (SWS): Автоматизируйте все аспекты выпуска сертификатов и жизненного цикла с помощью SSL.com API RESTful.
- Протокол ACME: ACME является установленным стандартным протоколом для проверки домена и управления сертификатами со многими реализациями клиента с открытым исходным кодом.
И независимо от того, какая технология автоматизации (или сочетание технологий) наиболее подходит для данной ситуации, производители и поставщики будут иметь доступ к современным инструментам для управления и мониторинга выпуска сертификатов, жизненного цикла и отзыва сертификатов на своих устройствах. Каждое новое устройство Iot и IIoT представляет свои уникальные задачи, и SSL.com готов, желает и может работать с производителями для создания оптимизированных решений для обеспечения их устройств общедоступными или частными сертификатами X.509. Если он подключается к Интернету, мы можем помочь вам защитить его!