Mi empresa es un fabricante de IoT-Gateway. Los clientes cada vez se toman más en serio los problemas de seguridad en el dominio de IoT. Además, los gobiernos requieren funciones de seguridad dedicadas como HTTPS para servidores web incrustados.
Por ejemplo, la agencia gubernamental alemana para la seguridad en sistemas de TI (BSI) requiere usar "TLS 1.2 en combinación MIT Perfect Forward Secrecy" como seguridad mínima.
Mis preguntas son:
- Desde el punto de vista del fabricante de IoT, ¿es suficiente la función de "carga de certificado" en el dispositivo IoT para garantizar la seguridad del certificado?
- ¿Ya hay una API estándar (o RFC) para reemplazar los certificados? Teniendo en cuenta las grandes instalaciones de IoT, la sustitución y la gestión de certificados es definitivamente un gran desafío.
- ¿Cómo gestionan las empresas la infraestructura de certificados HTTPS para dispositivos IoT hoy? ¿Se usan certificados autofirmados en Intranets o certificados oficiales? ¿Cada puerta de IoT obtiene un certificado diferente? ¿Operan las empresas entidades privadas de certificación?