El certificado SSL expiró en el dispositivo integrado (un cliente)

4

Necesito algunas entradas para el escenario cuando caduque el certificado que se almacena en el dispositivo incorporado en la red que es un cliente. A continuación se explica la configuración.

La explicación de la configuración

  1. Un dispositivo (cliente) está conectado a Internet.
  2. Necesitamos conectar este dispositivo al servidor
  3. Actualmente el servidor admite el protocolo SSL
  4. Necesitamos implementar el protocolo SSL en el lado del dispositivo
  5. El dispositivo enviará los datos al servidor
  6. Solo podemos acceder al servidor pero no directamente al dispositivo. Los datos recibidos por el servidor desde el dispositivo solo se pueden ver en el servidor.
  7. Como se indica en el punto no. 4, los datos que se transfieren entre el servidor y el dispositivo deben protegerse mediante el uso de SSL en el lado del dispositivo.
  8. El dispositivo no tiene una función de navegador web.

Por lo tanto, el dispositivo (cliente) debe tener un certificado de CA raíz almacenado en su almacén de claves. Cuando caduque como renovarlo ...

Saludos,

ssk

    
pregunta ssk 01.10.2014 - 07:03
fuente

1 respuesta

4

Si entiendo bien, el dispositivo solo se comunicará con uno o pocos servidores específicos. En este caso, no debe confiar en el sistema público de CA, sino rodar el suyo propio:

  • Si solo tiene un único servidor, puede usar un certificado autofirmado y codificar el certificado esperado en todos los dispositivos (identificación de certificado).
  • Si tiene varios servidores, puede utilizar varios certificados autofirmados y depositarlos en cada dispositivo. O puede crear su propia CA y almacenarla como la única CA de confianza en el dispositivo. Luego acepte cualquier cosa firmada por esta CA pero nada más.

En ambos casos, usted mismo controla los tiempos de caducidad de los certificados, por lo que puede hacerlos realmente largos u omitir la verificación de la caducidad en el dispositivo. Por supuesto, debe proteger con firmeza las claves privadas de los certificados generados y la CA, pero esto también sería lo mismo si utiliza el sistema público de CA.

Y, a menos que pueda actualizar el firmware del dispositivo, debe usar algoritmos de cifrado que probablemente sean lo suficientemente sólidos para la vida útil esperada del dispositivo. Si, por el contrario, puede actualizar el firmware, asegúrese de que el proceso de actualización sea seguro (p. Ej., Actualizaciones firmadas), ya que, de lo contrario, un atacante podría agregar su propio firmware y eludir su protección SSL capturando los datos del dispositivo antes de que se cifren con SSL.

    
respondido por el Steffen Ullrich 01.10.2014 - 07:48
fuente

Lea otras preguntas en las etiquetas