Dispositivos IoT y vida útil del certificado TLS de 39 meses

4

Desarrollo dispositivos IoT (Internet of Things) en pequeños sistemas integrados, donde es muy difícil actualizar el certificado local una vez que se han implementado. Realmente debe ser evitado si puede.

Con la nueva edad de 39 meses para los certificados TLS, estoy tratando de entender cómo esto afectará mis opciones de desarrollo.

Por lo general, instalaré una CA raíz desde Baltimore u otros en el dispositivo durante el proceso de fabricación. ¿Pero ahora esto significa que tendré que actualizar el certificado en mi dispositivo cada 39 meses?

O he entendido mal lo que está pasando. ¿Será solo el certificado del servidor que necesito reemplazar y no la CA raíz en el dispositivo?

Básicamente, necesito entender qué puedo hacer para asegurarme de que no necesito reemplazar el certificado durante toda la vida útil del dispositivo. Por lo tanto, tendrá que estar en el marco de más de 10 años.

Arquitectura de soluciones

Dispositivo integrado < ---- Internet ---- > Servicio en la nube (servidor)

El dispositivo incorporado es el cliente que tiene instalada una ROOT CA para habilitar la comunicación directa a través de TLS 1.2 con el servicio en la nube (servidor)

El tipo de dispositivos del que estamos hablando son pequeños dispositivos integrados como los que se utilizan en medidores inteligentes o nodos sensores para fábricas o agricultura. Podrían desplegarse potencialmente en millones.

    
pregunta Remixed123 12.05.2015 - 13:49
fuente

1 respuesta

2

Grandes ediciones porque ahora está claro que OP pregunta por dispositivos que solo funcionan como cliente TLS ...

Si esto es solo para dispositivos cliente, no necesita actualizar el certificado en el dispositivo ya que no hay certificado en el dispositivo. El certificado está en el servidor (que necesita actualizar) y se verifica con la CA raíz en el dispositivo cliente. Con esta CA raíz aceptará todos los certificados emitidos por esta CA, incluso los certificados futuros. Lo que significa que usted depende de la misma CA que emite certificados dentro de la vida útil del dispositivo. Es posible que aún necesite una forma segura de actualizar el firmware en caso de que se produzca otra pila TLS con errores o las regulaciones requieran el uso de una mejor criptografía dentro del marco de tiempo de más de 10 años.

Sí, debe tener alguna forma segura de actualizar el certificado para este dispositivo. Una razón es el límite de 39 meses, otra es un posible compromiso de la clave pública utilizada para el certificado (¿cómo está protegida de todas formas durante tanto tiempo?).

Y dado todos los errores recientes en las bibliotecas TLS, es mejor que también tengas una actualización de firmware segura. Aparte de eso, o necesita que su criptografía esté lista hasta el final del período de más de 10 años o necesita tener formas de actualizar los algoritmos y protocolos en uso. Tenga en cuenta que dentro de este largo período de tiempo, TLS 1.0 y TLS 1.1 probablemente quedarán en desuso, al igual que las claves RSA de 2048 bits. También es posible que el TLS 1.3 aún no publicado ya sea necesario.

  

¿Será solo el certificado del servidor que necesito reemplazar y no la CA raíz en el dispositivo?

La Root-CA en el dispositivo solo es necesaria si realiza conexiones TLS desde al dispositivo. Si necesita hacer esto, es probable que también deba actualizar estas CA raíz porque varias CA raíz expirarán dentro de este período de tiempo, por lo que ya no podrá verificar las conexiones.

    
respondido por el Steffen Ullrich 12.05.2015 - 15:04
fuente

Lea otras preguntas en las etiquetas