При аутентификации на основе сертификатов проверяется подлинность сертификата, то есть его идентификационные данные, срок действия, орган выдачи и статус отзыва. Центр проверки подлинности (Validation Authority) должен убедиться, что сертификату можно доверять. Если сертификат может подтвердить свою идентичность, он проходит проверку.
Аннулирование срока действия сертификата для поддержания безопасности IoT
У сертификатов IoT есть срок действия и продолжительность жизни. Ожидается, что она распространяется на весь срок действия. Однако иногда бывает необходимо отозвать сертификат до запланированного истечения срока его действия. Это может произойти по многим причинам, в том числе:
- устройство удаляют до истечения срока действия сертификата
- изменяется название компании или продуктовой линейки
- утерян или украден секретный ключ, который ставит под угрозу безопасность
Используйте методы аутентификации CRL или OCSP для обеспечения подлинности сертификата
При необходимости отзыва сертификата IoT центр проверки подлинности GlobalSign аннулирует хорошую репутацию сертификата либо с помощью списка отзыва (CRL), либо с помощью протокола Online Certificate Status Protocol (OCSP).
CRL — это регулярно обновляемый реестр сертификатов, отозванных центрами сертификации, которые их выдали. Реестр работает как черный список. Запросы GET направляются на сервер списков GlobalSign, который возвращает список отозванных сертификатов. Если соответствующий сертификат появился в CRL, то его уже нельзя использовать для аутентификации и он не может быть доверенным.
OCSP — более динамичный метод проверки сертификатов, который определяет текущее состояние цифрового сертификата, не требуя CRL. Приложения или клиенты OCSP направляют вызовы в управляемый GlobalSign автоответчик OCSP, который проверяет данные сертификата — и немедленно отвечает с подтверждением или отрицанием аутентификации сертификата.