管理IoT网关的https安全性
管理IoT网关的https安全性
提问于 2017-09-29 08:39:22
我的公司是一家电信网关制造商。客户越来越重视IoT领域的安全问题。此外,政府还要求为嵌入式web服务器提供HTTPS专用的安全功能。
例如,德国政府IT系统安全机构(BSI)要求使用"TLS 1.2组合麻省理工学院完美前向保密“作为最低安全性。
我的问题是:
- 从IoT制造商的角度来看,IoT设备中的“上传证书”功能是否足以确保证书安全?
- 是否已经有标准的API (或RFC)来替换证书?考虑到大型IoT安装,证书的替换和管理是一个很大的挑战。
- 今天,公司如何管理IoT设备的HTTPS证书基础设施?自签署证书是否用于内联网或官方证书?每个IoT网关是否都有不同的证书?公司是否经营私人证书颁发机构?
回答 2
Security用户
发布于 2017-09-29 12:54:13
许多公司(如fortinet,stormshield,.)使用自签名证书。他们有一个内部PKI,产生这些证书,但他们不受网络浏览器的信任。
他们中的许多人允许上传所有者证书。除了权限必须被完全配置之外,这个操作没有什么大不了的。
您可能需要一个PKI来管理您自己的证书。然后,如果您控制网关和客户端,则可以设置一个受保护的https通道。
如果不控制客户端,就不能强迫它信任您的证书颁发机构(CA),因此无法确保网关和客户端之间的https是安全的(man是中间的)。
因此,您可以向客户建议将您的CA添加为受信任的CA,或者让您的CA由著名的认证机构(comodo,verisign等)签名。
Security用户
发布于 2017-09-29 18:05:47
我建议,关键的部分是能够从设备中添加和删除证书,并设置/更改任何密码。
如果设备充当服务器,那么证书的定义是服务器证书(S)和私钥(S)。如果设备充当客户端或验证客户端证书,则定义包含ca certs。如果您没有使用客户端证书,那么您需要一些其他方式来验证管理操作(例如密码)。
这至少有3个与安全相关的功能。
尽管CMP/ for 6712被认为是更新证书的一种方法,但我认为您可能不应该在IOT设备上启动证书更新。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/170371
复制相关文章
相似问题
腾讯云开发者
