Om att säkra Internet of Things (IoT) var enkelt och enkelt, skulle vi inte läsa högprofilerade berättelser varje vecka om routrar med exponerade privata nycklar och överträffade hemskyddskameror. Med sådana nyheter är det inte konstigt att många konsumenter fortfarande är misstänksamma mot internetanslutna enheter. Antalet IoT-enheter förväntas nå över 38 miljarder år 2020 (en nästan trefaldig ökning precis sedan 2015), och det är dags för tillverkare och leverantörer att få allvar med säkerheten.
SSL.com är här för att hjälpa dig att göra det! Som en offentligt betrodd certifikatutfärdare (CA) och medlem i CA / Browser Forum har SSL.com den djupa expertis och beprövade teknik som behövs för att hjälpa tillverkare att säkra sina IoT- och IIoT-enheter (Industrial Internet of Things) med den bästa klass infrastruktur för allmän nyckel (PKI), automatisering, hantering och övervakning.
Om du behöver utfärda och hantera tusentals (eller till och med hundratusentals) offentligt eller privatförtroende X.509 certifikat för dina internetanslutna enheter, SSL.com har allt du behöver.
Exempel: Säkra en trådlös router
Som en enkel illustration beskriver vi ett scenario med en typisk inbäddad enhet - en trådlös hemrouter. Du vet förmodligen allt om hur du kan logga in på en av dessa; du skriver något liknande http://10.254.255.1
i din webbläsare (om du kommer ihåg det), kanske du klickar igenom en säkerhetsvarning och hoppas att ingen snopar när du anger dina inloggningsuppgifter. Tack och lov kan IoT-tillverkare nu erbjuda sina kunder en mycket mer bekväm - och ännu viktigare - säker upplevelse genom de verktyg och teknik som SSL.com erbjuder.
I vårt exempelscenario vill en tillverkare låta sina kunder ansluta till sin routers admingränssnitt säkert via HTTPS, inte HTTP. Företaget vill också låta kunder använda ett domännamn som är lätt att komma ihåg (router.example.com
), snarare än enhetens lokala lokala IP-adress (192.168.1.1
). SSL /TLS certifikat som skyddar routerns interna webbserver måste vara offentligt betrodda, eller användare kommer att möta säkerhetsfelmeddelanden i sina webbläsare. Ännu en komplikation är att varje offentligt pålitlig SSL /TLS certifikatet har en hårdkodad livslängd vid utfärdandet (för närvarande effektivt begränsat av webbläsarpolicy till ungefär ett år). På grund av denna begränsning måste tillverkaren inkludera ett medel för att fjärrbyta en enhets säkerhetscertifikat vid behov. Slutligen vill tillverkaren göra alla dessa saker med minimal eller ingen olägenhet för sina kunder.
I samarbete med SSL.com kan tillverkaren vidta följande steg för att förse varje routers interna webbserver med en offentligt pålitlig, domänvaliderad (DV) SSL /TLS certifikat:
- Tillverkaren skapar DNS A poster som associerar det önskade domännamnet (
router.example.com
) och ett jokertecken (*.router.example.com
) till den valda lokala IP-adressen (192.168.1.1
). - Tillverkaren visar kontroll över sitt basdomännamn (
example.com
) till SSL.com via en tillämplig domänvalidering (DV) metod (i detta fall skulle antingen e-postkontakt eller CNAME-uppslag vara lämpligt). - Använda en SSL.com-utfärdat tekniskt begränsad emission underordnad CA (eller SubCA) (kontakta oss för mer information om hur du får din egen tekniskt begränsade utfärdande underordnade CA) kan företaget utfärda offentligt betrodda SSL /TLS certifikat för dess validerade routerdomännamn (er). Som exempel kommer vi hålla oss till
router.example.com
, men beroende på användningsfallet kan detta också vara ett jokertecken, t.ex.*.router.example.com
. Med vildkortet kan man utfärda certifikat som täcker underdomäner somwww.router.example.com
ormail.router.example.com
. - Under tillverkningen förses varje enhet med ett unikt kryptografiskt nyckelpar och offentligt pålitligt DV SSL /TLS certifikatskydd
router.example.com
. - När en kund först ansluter enheten till internet är två scenarier möjliga:
- Inkluderat SSL /TLS certifikat har inte löpt ut sedan tillverkningen. I det här fallet kan användaren helt enkelt ansluta direkt till routerns kontrollpanel på
https://router.example.com/
med en webbläsare och kommer inte att uppleva några webbläsares förtroendefel. - Inkluderat SSL /TLS certifikat har löpt ut sedan tillverkningen. Ett utgående certifikat måste ersättas med ett nyligen utfärdat certifikat. Beroende på enhetens funktioner och tillverkarens preferenser kan enheten nu antingen:
- Generera ett nytt nyckelpar och certifikatsigneringsförfrågan internt och skicka det sedan till sin begränsade SubCA för signering. SubCA returnerar sedan en signerad SSL /TLS certifikat.
- Ge en begäran om ett nytt nyckelpar och CSR som kommer att genereras i ett externt nyckelhanteringssystem, undertecknat av SubCA, och levereras till enheten.
- Inkluderat SSL /TLS certifikat har inte löpt ut sedan tillverkningen. I det här fallet kan användaren helt enkelt ansluta direkt till routerns kontrollpanel på
- När ett nytt certifikat behövs för enheten kan användarens inloggningsuppgifter, ett inkluderat klientcertifikat och / eller nyckelattestationsprocess användas för att autentisera enheten med den begränsade SubCA.
- Under enhetens livstid är dess SSL /TLS certifikatet kommer att bytas ut före utgång, med regelbundna intervall. På detta sätt kommer användaren att ha kontinuerlig åtkomst via HTTPS under enhetens livstid.
IoT-automatiseringsalternativ
SSL.com erbjuder tillverkare av IoT-enheter flera kraftfulla automatiserings- och hanteringsverktyg för att arbeta med deras anpassade SSL.com emitterar CA:
- SSL Web Services (SWS) API: Automatisera alla aspekter av certifikatutfärdande och livscykel med SSL.com RESTful API.
- ACME-protokoll: ACME är ett etablerat, standardprotokoll för domänvalidering och certifikathantering med många implementeringar av öppen källkod.
Oavsett vilken automatiseringsteknik (eller blandning av teknik) som är mest lämplig för en given situation, kommer tillverkare och leverantörer att ha tillgång till avancerade verktyg för hantering och övervakning av certifikatutfärdande, livscykel och återkallande på sina enheter. Varje ny Iot- och IIoT-enhet ger sina egna unika utmaningar, och SSL.com är redo, villiga och kan arbeta med tillverkare för att skapa optimerade lösningar för att förse sina enheter med offentligt eller privat betrodda X.509-certifikat. Om det ansluter till internet kan vi hjälpa dig att säkra det!