La mia azienda è un produttore di gateway IoT. I clienti stanno prendendo sempre più sul serio i problemi di sicurezza nel dominio IoT. Inoltre, i governi richiedono funzionalità di sicurezza dedicate come HTTPS per i severs Web incorporati.
Ad esempio, l'agenzia governativa tedesca per la sicurezza nei sistemi IT (BSI) richiede l'uso di "TLS 1.2 in combinazione con il segreto perfetto per il MIT" come sicurezza minima.
Le mie domande sono:
- Dal punto di vista del produttore IoT, è presente una funzionalità di "certificato di caricamento" nel dispositivo IoT sufficiente a garantire la sicurezza del certificato?
- Esistono già API standard (o RFC) per sostituire i certificati? Considerando le grandi installazioni di IoT, la sostituzione e la gestione dei certificati è in definitiva una grande sfida.
- In che modo le aziende gestiscono l'infrastruttura dei certificati HTTPS per i dispositivi IoT oggi? I certificati autofirmati sono utilizzati in Intranet o certificati ufficiali? Ogni gateway IoT riceve un certificato diverso? Le aziende gestiscono le autorità di certificazione private?