Получение SSL / TLS сертификатов для Интернета вещей (IoT): как сделать процесс проще?

Интернет вещей (IoT) прочно вошел в нашу жизнь, существенно облегчив сотни и тысячи процессов. Однако, несмотря на свою популярность, до тотальной безопасности этого виртуального пространства еще далеко, если бы это было иначе, нас бы не атаковали ежедневно сообщения о том, что очередные камеры, системы видеонаблюдения или управления были взломаны, а очередные личные даны попали в сеть. Такое положение вещей сказывается на доверии пользователей к гаджетам, подключенным к интернету. И такие опасения пользователей не удивительны.

---

Но, увы, выбора у пользователей все меньше, мировая тенденция направлена на увелечение количества устройств, имеющих доступ к интернету. К концу 2021 года количество таких устройств должно достигнуть 50 миллиардов, при этом 5 лет назад данный показатель едва достигал 15 миллиардов. Подобное положение вещей заставляет серьезно задуматься о безопасности Интернета вещей.

Компания «Эмаро» хочет помочь пользователя наслаждаться современными гаджетами и аксессуарами, чувствуя себя в безопасности. Имея огромный опыт работы с безопасностью в интернете, и являясь современным центром сертификации, мы разработали множество направлений для защиты устройств IoT и управлении инфраструктурой открытых ключей.

Мы решаем как частные, так и глобальные задачи с максимальной пользой и комфортом для клиента. Не имеет значения, стоит перед вами задача защитить одно устройство, или одновременно работать с тысячами сертификатов. Мы максимально упростим вам процесс, сделав все устройства безопасными и защищенными.

Как это работает? Пример обыкновенного домашнего маршрутизатора

Для понимания сути безопасности для интернета вещей рассмотрим тонкости на примере домашнего маршрутизатора (роутера). Все, кто пользуется Wi-fi дома в курсе, как посмотреть настройки роутера, достаточно посетить веб-страницу, адрес которой указан на коробке и в инструкции, как правило, он выглядит примерно так: http://10.254.255.218. При открытии страницы появляется информационное окно с уведомлением от системы безопасности. Далее вам остается просто надеяться, что в данный момент ваш лэптоп под защитой и соединение не отслеживается, а значит все вводимые данные в безопасности.

Подобная ситуация малоприятна и большинство производителей уже вовсю исправляют положение вещей, предлагая пользователям более удобный и безопасный вариант взаимодействия, применяя технологии и возможности нашей компании.

Предположим, что компания-производитель маршрутизаторов всерьез обеспокоена безопасностью и комфортом пользователя. И первое, чего хочет добиться производитель – организовать соединение с интерфейсом администратора через протокол HTTPS, вместо привычного HTTP. Еще одно желание производителя роутеров – облегчить клиенту доступ к интерфейсу администратора, создав понятный и легко запоминающийся адрес, вместо набора цифр, например, адрес может выглядеть так: router.name.com.

Сложность состоит в том, что SSL/TLS сертификат, используемый для защиты веб-сервера маршрутизатора должен быть общедоступным, иначе пользователь увидит сообщение об ошибке в браузере. Еще один нюанс – у каждого сертификата строго ограничен срок действия после выдачи и составляет, как правило, всего год. Естественно, роутером клиент пользуется гораздо дольше. Поэтому необходимо также предусмотреть возможность удаленного выпуска новых сертификатов для реализованной продукции. И, само собой, весь этот процесс повышения безопасности должен не причинять никаких неудобств конечному пользователю продукции.

Сотрудничество с emaro-ssl.ru поможет решить все эти задачи довольно легко. Предлагаем пошаговую инструкцию, как производителю добиться всех вышеозначенных целей, то есть закрепить за каждым маршрутизатором сертификат типа DV с возможности удаленной пролонгации:

1. Компания-производитель генерирует записи DNS A, призванные связать выбранное доменное имя (router.name.com) и специальный подстановочный знак (*.router.name.com) с локальным IP-адресом маршрутизатора (например 192.168.1.1).

2. Производитель проходит стандартную проверку базового домена классическими методами проверки для сертификатов типа (DV) .

3. Применяя промежуточный центр сертификат от emaro-ssl.ru (SubCA), производитель получает возможность выпуска общедоступных сертификатов для своей продукции. Все сертификаты предоставляются на базе проверенного имени домена. В примере мы применяем имя router.name.com, но производитель может подобрать любой желаемый подстановочный знак. Наличие подстановочного знака дает возможность использовать также субдомены, например: www.router.name.com или mail.router. name.com.

4. Производитель присваивает каждому изготовленному маршрутизатору уникальную пару ключей шифрования, а также SSL / TLS-сертификат типа DV. В таком случае безопасность соединения с интерфейсом администратора гарантирована, как и комфорт пользователя, которому не придется запомнить длинный адрес из цифр.

5. Процесс выглядит следующим образом. После покупки маршрутизатора клиент впервые подключается к сети и тут доступны два сценария событий:

• Срок действия SSL /TLS-сертификата маршрутизатора еще не истек. В данной ситуации клиент подключается к интерфейсу с адресом https://router. name.com/ через удобный браузер, никаких ошибок не возникает.

• Срок действия SSL /TLS-сертификата роутера уже истек. В этом случае необходимо произвести замену сертификата. В зависимости от выбранного варианта работы, есть два пути замены сертификата

                 1. Генерируется пара ключей и отправляется запрос на подпись нового сертификата для устройства, запрос попадает в промежуточный центр сертификации. SubCA возвращает                         пользователю сертификат с подписью.                                                                                                                                                                                                                                          
                 2. Происходит запрос новой пары ключей, они генерируются внешней системой управления ключами, после подписи доставляются на устройство.                                                        

       6. Если в процессе использования устройства необходим новый сертификат, процесс может происходить с ограниченной SubCA.

       7. В процессе использования устройства сертификат будет меняться регулярно (по истечении срока). Таким образом, для клиента не будет возникать никаких сложностей с заменой сертификата, а для соединения с админкой маршрутизатора, клиент всегда будет применять только протокол HTTPS весь период использования маршрутизатора.

Автоматизация IoT

«Эмаро» может предложить компаниям-производителям устройств в сфере IoT различные современные методы автоматизации:

• API служб SSL (SWS): обеспечивает полную автоматизацию всех процессов получения и использования сертификата;

• Протокол ACME – это стандартный протокол проверки домена с открытым исходным кодом.

Вне зависимости от выбранного типа автоматизации, или сочетания технологий, для производителей устройств в сфере Интернета вещей, а также их клиентов гарантированы максимально удобные условия эксплуатации сертификатов, их выдачи и отзыва, при необходимости.

Мир Интернета вещей постоянно совершенствуется, и каждый новый продукт обладает обновленными возможностями и уникальными протоколами выполнения задач. Компания «Эмаро» готова к таким вызовам и способна предложить эффективные сценарии обеспечения безопасности каждого конкретного устройства, или типа продуктов. Устройствам обеспечивается предоставление сертификатов стандарта X.509. Высокий уровень безопасности сделает продукцию популярной и востребованной среди пользователей. Ведь именно уязвимость товаров часто останавливает клиентов от совершения покупки.

Мы благодарим Вас за выбор компании emaro-ssl.ru! Если у вас возникли вопросы и предложения, свяжитесь с нами удобным для вас способом: написав на почту support@emaro-ssl.ru, или позвонив по номеру 8 800 555 14 99. Также вы можете нажать на ссылку в углу этой страницы и связаться с оператором мгновенно. Ответы на наиболее популярные вопросы собраны в разделе «Поддержка».