Dispositivi IoT e durata del certificato TLS a 39 mesi

4

Sviluppo dispositivi IoT (Internet of Things) su piccoli sistemi embedded, dove è molto difficile aggiornare il certificato locale una volta che sono stati distribuiti. Ha davvero bisogno di essere evitato, se possibile.

Con la nuova età di 39 mesi per i certificati TLS, sto cercando di capire in che modo ciò influenzerà le mie opzioni di sviluppo.

Normalmente installerò una CA root da Baltimora o altri sul dispositivo durante il processo di produzione. Ma questo ora significa che dovrò aggiornare il certificato sul mio dispositivo ogni 39 mesi?

O ho frainteso cosa sta succedendo. Sarà solo il certificato dei server che devo sostituire e non la CA radice sul dispositivo?

Fondamentalmente ho bisogno di capire cosa posso fare per assicurarmi che non sia necessario sostituire il certificato per l'intera vita del dispositivo. Quindi dovrà essere nel periodo di 10 anni + tempo.

Architettura della soluzione

Dispositivo incorporato < ---- Internet ---- > Servizio cloud (server)

Il Dispositivo incorporato è il client che ha una CA ROOT installata per abilitare la comunicazione diretta su TLS 1.2 con il Servizio Cloud (Server)

Il tipo di dispositivi di cui stiamo parlando sono piccoli dispositivi integrati come quelli utilizzati nei contatori intelligenti o nei nodi di sensori per fabbriche o agricoltura. Potrebbero essere schierati in milioni potenzialmente.

    
posta Remixed123 12.05.2015 - 13:49
fonte

1 risposta

2

Grandi modifiche perché ora è chiaro che l'OP chiede informazioni sui dispositivi che funzionano solo come client TLS ...

Se questo è solo per i dispositivi client di quanto non sia necessario aggiornare il certificato sul dispositivo poiché non vi è alcun certificato sul dispositivo. Il certificato si trova sul server (che è necessario aggiornare) e viene confrontato con la CA principale sul dispositivo client. Con questa CA radice, accetta tutti i certificati emessi da questa CA, anche i certificati futuri. Ciò significa che si dipende dalla stessa CA che rilascia i certificati entro il tempo di vita del dispositivo. Potrebbe essere comunque necessario un modo sicuro per aggiornare il firmware nel caso in cui si verifichi ancora un altro stack TLS bug o le normative richiedono l'uso di una crittografia migliore entro i 10 anni di tempo.

Sì, è necessario disporre di un modo sicuro per aggiornare il certificato per questo dispositivo. Una ragione è il limite di 39 mesi, un altro è un possibile compromesso della chiave pubblica utilizzata per il certificato (come è comunque protetto per così tanto tempo?).

E dati tutti i bug recenti nelle librerie TLS è meglio avere anche un aggiornamento del firmware sicuro. A parte ciò, è necessario che la crittografia sia pronta fino al termine dei 10 anni o che sia necessario disporre di metodi per aggiornare gli algoritmi e i protocolli in uso. Si noti che all'interno di questo lungo periodo di tempo TLS 1.0 e TLS 1.1 saranno probabilmente deprecati, così come le chiavi RSA a 2048 bit. Potrebbe anche essere che il TLS 1.3 non ancora rilasciato sarà già richiesto.

Will it only be the servers's certificate I need to replace and not the root CA on the device?

La Root-CA sul dispositivo è necessaria solo se si rendono le connessioni TLS dal dispositivo. Se è necessario eseguire questa operazione, è probabile che sia necessario aggiornare anche queste CA radice in quanto diverse CA radice scadranno entro questo periodo di tempo, pertanto non è più possibile verificare le connessioni.

    
risposta data 12.05.2015 - 15:04
fonte

Leggi altre domande sui tag