Certificato SSL scaduto sul dispositivo incorporato (un client)

4

Ho bisogno di alcuni input per lo scenario quando scade il certificato che è archiviato sul dispositivo incorporato sulla rete che è un client. Di seguito è riportata la spiegazione della configurazione.

La spiegazione di installazione

  1. Un dispositivo (client) è connesso su Internet.
  2. Dobbiamo connettere questo dispositivo al server
  3. Attualmente il server supporta il protocollo SSL
  4. Dobbiamo implementare il protocollo SSL sul lato dispositivo
  5. Il dispositivo invierà i dati al server
  6. Possiamo accedere al server ma non direttamente al dispositivo. Qualsiasi dato ricevuto dal server dal dispositivo può essere visualizzato solo sul server.
  7. Come affermato al punto n. 4, i dati che vengono volati tra il server e il dispositivo devono essere resi sicuri utilizzando SSL sul lato del dispositivo.
  8. Il dispositivo non ha una funzione browser Web.

Quindi il dispositivo (client) deve avere un certificato CA radice archiviato nel suo keystore. Quando scade come rinnovarlo ...

Saluti,

SSK

    
posta ssk 01.10.2014 - 07:03
fonte

1 risposta

4

Se ho capito bene il dispositivo comunicherà solo con uno o pochi server specifici. In questo caso non dovresti fare affidamento sul sistema CA pubblico, ma eseguirne il rollover:

  • Se si dispone di un solo server, è possibile utilizzare un certificato autofirmato e un codice hardware il certificato previsto in tutti i dispositivi (blocco del certificato).
  • Se disponi di più server potresti utilizzare più certificati autofirmati e depositarli tutti in ogni dispositivo. In alternativa, è possibile creare la propria CA e memorizzarla come unica CA attendibile sul dispositivo. Quindi accetta qualsiasi cosa firmata da questa CA ma nient'altro.

In entrambi i casi, puoi controllare tu stesso i tempi di scadenza dei certificati, in modo da renderli veramente lunghi o saltare la verifica della scadenza sul dispositivo. Ovviamente è necessario proteggere strettamente le chiavi private dei certificati di generazione e CA, ma anche lo stesso se si utilizza il sistema CA pubblico.

E a meno che non si sia in grado di aggiornare il firmware sul dispositivo, è necessario utilizzare algoritmi crittografici che saranno probabilmente sufficientemente potenti per la durata prevista del dispositivo. Se invece si è in grado di aggiornare il firmware, assicurarsi che il processo di aggiornamento sia sicuro (ad es. Aggiornamenti firmati) perché altrimenti un utente malintenzionato potrebbe aggiungere il proprio firmware ed eludere la protezione SSL afferrando i dati sul dispositivo prima che vengano crittografati con SSL.

    
risposta data 01.10.2014 - 07:48
fonte

Leggi altre domande sui tag