Su producto tendrá un aspecto más profesional si puede proporcionar una solución que automatice por completo la gestión de certificados.
Como recordará, hace unos meses escribí una columna sobre “IDE basado en web de Real Time Logic para el desarrollo seguro de IoT FreeRTOS/lwIP ESP8266”. En particular, presentó el Minnow Server ultrapequeño, que permite que un pequeño microcontrolador sin memoria externa actúe como un servidor web de administración de dispositivos en tiempo real.
Ese artículo fue impulsado por mi amigo Wilfred Nilsen. lógica en tiempo realWilfred me envió un correo electrónico de nuevo y dijo:
Hola Max, Nos gustaría informarte que hemos creado un nuevo servicio diseñado específicamente para productos y dispositivos con servidores web integrados. Llamado SharkTrust, el servicio automatiza la instalación de certificados SSL confiables para dispositivos con servidores web incorporados. Este servicio se puede utilizar con cualquier tipo de producto de servidor web integrado implementado en una red privada, como una red de área local.
Sé por conversaciones con otros diseñadores integrados que implementar certificados de seguridad y manejo puede ser un dolor en la región Nether. Wilfred estuvo de acuerdo, declarando:
De hecho, nuestra mayor pregunta de soporte era cómo manejar el certificado SSL del servidor web incorporado.
Wilfred continuó diciendo que después de responder las preguntas de los clientes sobre el tema durante los últimos años, decidieron hacer algo al respecto, lo que resultó en el servicio SharkTrust.
Desafortunadamente, soy ingeniero de diseño de hardware de profesión. Todo lo que sabe sobre la instalación de un certificado SSL de confianza puede estar escrito en la cabeza de un alfiler. Entonces (a) yo era el usuario y (b) tenía una pista y pude responder estas preguntas. Los resultados son los siguientes.
¿Por qué debo usar conexiones HTTPS seguras en mi red privada?
Hay varias razones para hacer esto. En primer lugar, algunas empresas exigen seguridad incluso para redes privadas. Las credenciales y otra información confidencial se pueden interceptar incluso en redes privadas. En segundo lugar, los proveedores de navegadores dificultan el uso de HTTP simple y antiguo. Google con su navegador Chrome parece estar liderando el camino, y Chrome actualmente marca todas las conexiones HTTP como inseguras. Aparece un mensaje de advertencia inseguro en la barra de URL del navegador y puede disuadir a los usuarios de usar dispositivos con dicha advertencia. Además, muchas otras funciones del navegador, como los administradores de contraseñas del navegador, no funcionan en modo HTTP. Esto significa que tiene que iniciar sesión manualmente cada vez que accede al servidor web incorporado, lo cual es molesto. Hay muchas otras características nuevas del navegador que no funcionan en modo HTTP, pero sería demasiado largo explicarlas todas.
¿Puedo usar simplemente el certificado SSL que viene con el producto?
Los productos con un servidor web integrado normalmente se envían con un certificado SSL autofirmado. Cuando use su navegador para navegar a dichos productos, verá una gran advertencia que le indicará que el sitio no es seguro y que no debe continuar Omita esta advertencia haciendo clic en algunos enlaces en su navegador Es posible, pero la mayoría de los usuarios sienten inquieto y no sabe que hacer. Omitir dichas advertencias en el navegador hace que la comunicación sea menos segura que el antiguo HTTP. Además, todas las funciones disponibles con HTTPS no están disponibles con certificados SSL que no son de confianza.
Instalé un certificado SSL en un servidor en línea y no me resultó difícil
Cuando compra un certificado SSL de una autoridad de certificación (CA) conocida como VeriSign, debe proporcionar información que un servidor web que se ejecuta en una red privada no puede manejar. Los productos con servidores web integrados diseñados para su uso en una LAN local generalmente se acceden directamente a través de una dirección IP o DNS local utilizando nombres como: https://dispositivo1La CA no firmará certificados con direcciones IP de rango privado como 192.168.1.XXX o certificados con nombres de dominio no estándar (no registrados) como dispositivo1.
(Fuente: pixabay.com)
Si instala su propio certificado en un servidor web implementado en su red privada, debe configurar su propia solución completa de infraestructura de clave pública (PKI). Si busca en Google “cómo configurar una PKI”, encontrará muchos tutoriales que muestran cómo configurar una PKI utilizando la herramienta de línea de comandos de OpenSSL. Estos tutoriales suelen ser bastante largos y están destinados a usuarios altamente técnicos.
Hace unos años escribí una herramienta WYSIWYG gratuita que simplificó enormemente el proceso de configuración de una PKI completa.
¿Puedo usar herramientas PKI gratuitas en lugar de usar el servicio SharkTrust?
Sí, puedo. Sin embargo, según nuestra experiencia, los usuarios finales encuentran muy difícil el proceso de comprensión de PKI. Así que decidí dar el siguiente paso y crear un servicio para administrar esto automáticamente.nosotros Gestión de certificados del sistema integrado Un tutorial que explica el proceso de PKI, pero este tutorial está dirigido a ingenieros, no a usuarios finales.
Es posible que tenga clientes experimentados con profundos conocimientos técnicos que pueden configurar una PKI, pero configurar una PKI privada plantea otro problema. Es el proceso de instalar un certificado raíz PKI (también conocido como certificado de autoridad certificadora) en todos los dispositivos cliente. Al crear una PKI, primero cree un certificado raíz y una clave privada correspondiente. El certificado raíz debe instalarse en todos los equipos cliente para confiar en los dispositivos que utilizan certificados SSL firmados por el certificado raíz. Recuerde que la confianza del protocolo TLS se basa en un tercero. Sin embargo, la confianza no existe si el tercero no está preinstalado en todos los clientes.
Esto significa que configurar una PKI privada presenta problemas administrativos. Por ejemplo, una empresa solo puede usar computadoras con Windows cuando va a un servidor web en una red privada. En tal configuración, debe instalar el certificado raíz solo en las computadoras con Windows utilizadas para la administración de dispositivos. Sin embargo, esto limita los tipos de navegadores que puede utilizar. Por ejemplo, Firefox tiene su propio almacén de certificados y Windows no utiliza un almacén de certificados.
La mayoría de las empresas probablemente deseen tener un número infinito de equipos cliente. Después de todo, la ventaja de proporcionar una interfaz web para administrar dispositivos es que se pueden controlar desde una computadora de mano, como un teléfono o una tableta. Puede pensar que instalar un certificado raíz en todos los teléfonos y tabletas utilizados por el personal de su empresa sería un problema administrativo.
¿Por qué debo utilizar los servicios de certificados de SharkTrust?
Los principales navegadores y sistemas operativos confían directamente en los certificados raíz del servicio SharkTrust, incluidos Microsoft, Google, Apple, Mozilla, Oracle y Blackberry. Esto significa que todos los navegadores de los equipos cliente confían automáticamente en los certificados firmados por el certificado raíz del servicio SharkTrust cuando utilizan este servicio.
(Fuente: pixabay.com)
Su producto tendrá un aspecto más profesional si puede proporcionar una solución que automatice por completo la gestión de certificados. Lo que necesita es una solución que permita a sus clientes navegar de forma segura en sus dispositivos recién comprados sin errores de navegación.
Para obtener más información sobre todo esto, no dude en visitar el sitio web sin complicaciones de Real Time Logic. Página web de servicios de certificados de SharkTrust.