Teknoloji

    AWS IoT Core ile değişen sertifika gereksinimleri nasıl güncellenir?

    AWS IoT Core ile değişen sertifika gereksinimleri nasıl güncellenir?

    NOT: Bu gönderi, Symantec Server Intermediate Certificate Authority’nin (ICA) yenilenmesi ve AWS IoT Core – denetim düzlemi uç noktaları ve yeni desteklenen AWS IoT Core alan kişi uç noktalarının TLS1.2 spesifikasyonuna geçmiş olmasına ilişkin mühim bir duyuruyu kapsar.

    genel bakış

    Bu gönderide, Symantec Server Intermediate Certificate Authority’de (ICA) yapılacak değişimleri ve denetim düzlemi uç noktaları için varsayılan olarak TLS 1.2’yi açmayı tartışıyoruz. AWS IoT Core’un hususi tesir alanı ve yapılandırılabilir uç nokta özelliklerinin iyi mi kullanılacağına ilişkin önerileri de paylaşacağız. Ek olarak, tek bir güvenilir uç noktaya bağlanan cihazlar için istemci tarafı hususi sertifikaları (kendinden imzalı sertifikalar) kullanmanın yollarını öğrenecek ve böylece genel CA’larla ilişkili belirsizlikleri ortadan kaldıracaksınız.

    1 Numaralı Değişim: Symantec Server ICA’nın güncellenmesi

    Müşterilerin varsayılan olarak son olarak güvenlik özelliklerini kullanmalarını sağlamak için AWS IoT Core denetim düzlemi uç noktalarını ve yeni oluşturulan alan kişi uç noktalarını TLS1.2 olarak değiştireceğiz ve VeriSign Derslik 3 Genel Birincil Sertifikasyonuna dayalı yeni bir sunucu sertifikamız olacak Yetki – G5. Ek olarak, geriye dönük uyumluluk nedenleriyle, mevcut tüm alan kişi uç noktalarını mevcut TLS sürümlerinde ve ayarlarında bırakıyoruz. AWS IoT Core yapılandırılabilir uç nokta özelliği vesilesiyle müşterilerin mevcut alan kişi uç noktalarını TLS1.2 yada TLS 1.3’e geçirmelerini tavsiye ediyoruz.

    Symantec Server ICA (Ara Sertifika Yetkilisi) Güncellemesi

    Mevcut Symantec Server ICA’nın süresi 31 Ekim 2023’te doluyor ve tüm Symantec Server-side sertifikalarını vermek için yenilenmiş bir Symantec Server ICA kullanılacak.

    Sunucu sertifikası itimat zinciri (Symantec)

    Biçim 1.0

    Bu değişim yalnızca veri düzlemi içindir ve yalnızca Symantec uç noktaları için geçerlidir. Amazon Trust Services (ATS) uç noktalarını kullanan müşteriler etkilenmeyecektir. AWS, kullanılabilirlik riski oluşturduğu için sertifika sabitlemeyi kullanmamanızı önerir. Sadece, kullanım durumunuz sertifika sabitlemeyi gerektiriyorsa AWS, bir ara CA yada yaprak sertifika yerine ATS imzalı bir Amazon Kök CA 1 yada Amazon Kök CA 3’e sabitlemenizi önerir. Orijinal olarak Symantec Root CA’ya sabitlediyseniz cihazlarınız AWS IoT Core’a bağlanmaya devam edebilir (VeriSign Derslik 3 Kamu Birincil Sertifika Yetkilisi – G5).

    Eylemler / tavsiyeler:

    • Mevcut Symantec Server Intermediate Certificate Authority (ICA) sertifikasının süresi 31 Ekim’de doluyor ve VeriSign Class 3 Public Primary Certification Authority – G5’e dayalı yeni bir sunucu ICA sertifikasını yavaş yavaş kullanıma sunuyoruz. AWS, süreci dikkatle izliyor ve uyumsuz cihazlar tespit ettikçe müşterilerimize ulaşacağız. Aygıt davranışının değiştiğini yada cihazınızın AWS IoT Core ile kontakt kuramadığını fark ederseniz, lütfen alan kişi desteği yada Teknik Hesap Yöneticiniz (TAM) ile iletişime geçin.
    • Uygulamalarınızın güvenli ve uyumlu kalmasını sağlamak için, bu güvenilmeyen Symantec Sunucusu ICA sertifikalarıyla tüm durağan(durgun) kodlu ilişkilendirmeleri kaldırmanızı ve genel olarak güvenilen Kök CA’yı (ATS imzalı Amazon Kök CA 1 yada Amazon Kök CA 3 benzer biçimde) kullanmanızı önemle tavsiye ederiz.
    • Buradan ATS Köküne karşı tam sertifika zincirlerini doğrulamak için Amazon Trust Services (ATS) uç noktalarını kullanın ve ürün yazılımını güncelleyin. Cihaza minimum Amazon Root CA 1 ve Amazon Root CA 3 koyun. Aygıt kapasiteniz var ise, gelecekteki maksimum uyumluluk için beşini de mağazaya koyun.
    • Symantec Server Intermediate Certificate Authority (ICA) sertifikasını sabitlediyseniz ve bir güncellemeden sonrasında bir bağlantı hatasıyla karşılaşırsanız, lütfen ürün yazılımınızı Symantec Root CA’ya karşı tam sertifika zincirlerini doğrulamak için güncelleyin (VeriSign Derslik 3 Kamu Birincil Sertifika Yetkilisi – G5). Bu sertifikayı burada bulabilirsiniz.
    • Hususi tesir alanı ve yapılandırılabilir uç noktalar kullanın.
      • Yapılandırılabilir uç noktalar, cihazlarınıza uygulanan TLS politikasını denetim etmenize olanak tanır ve bu, yeni siyaset ile bir uç nokta oluşturarak ve hazır olduklarında cihazları ona taşıyarak kademeli olarak yapılabilir.
    • Biri Genel CA kullanan mobil uygulamalar için, diğeri hususi CA (yada kendinden imzalı) sertifika kullanan cihazlar için olmak suretiyle iki ayrı uç noktaya haiz olmanız önerilir ve TLS güvenlik ilkelerinizin tam olarak bilincinde olun.
    • İstemci tarafında sertifika boyutunu sınırlamayın. Genel CA’lar, sunucu sertifikalarının tertipli olarak yenilenmesini gerektirir. OCSP yanıtlayıcı URL’lerinin ve öteki seçeneklerin eklenmesi, vakit içinde bir sunucu sertifikasının boyutunu artırabilir. Gelecekteki sunucu sertifikalarını işlemek için kafi arabellek eklemenizi tavsiye ederiz. AWS IoT Core Device Advisor vesilesiyle cihazınızın büyük sunucu sertifikalarıyla uyumluluğunu doğrulayabilirsiniz.

    Amazon Trust Services (ATS) imzalı Kök CA’yı kullanma

    ATS imzalı bir Kök CA kullanmak suretiyle cihazlarınızı güncellemek için ihtiyaç duyulan adımlar şunlardır:

    1. Cihazlarınızın şu anda kullanmakta olduğu Kök CA’yı tanımlayın. Bunu, cihazlarınız AWS IoT Core’a bağlandığında sunulan sunucu sertifikası zincirine bakarak yapabilirsiniz.
    2. AWS IoT belgelerinden ATS imzalı Kök CA’yı indirin.
    3. ATS imzalı Kök CA’yı cihazlarınız için itimat deposuna kurun. Bunu yapmak için belirli adımlar, kullandığınız cihazın türüne bağlı olarak değişecektir.
    4. ATS imzalı Kök CA’yı kullanarak AWS IoT Core’a bağlanabileceklerinden güvenilir olmak için cihazlarınızı kontrol edin.

    Değişim #2: TLS yapılandırmasının güncellenmesi

    Devam eden güvenlik taahhüdümüzün bir parçası olarak, AWS IoT Core – denetim düzlemi uç noktalarının ve yeni oluşturulan alan kişi uç noktalarının artık varsayılan olarak TLS 1.2 yada üstü spesifikasyonlara haiz olacağını duyurmaktan sevinç duyuyoruz. Bu yükseltme, sektördeki son olarak güvenlik standartlarından ve geliştirmelerinden yararlanmanızı sağlar. AWS’nin tüm AWS hizmeti API uç noktaları için TLS yapılandırmasını minimum TLS 1.2 sürümüne güncelleyeceğini de belirtmek isteriz.

    Eylemler / tavsiyeler

    • Denetim düzlemi uç noktaları: TLS 1.0/1.1 kullanıyorsanız, bu bağlantılar için TLS 1.2 yada üstünü kullanmaya başlamanız gerekir.
    • Veri düzlemi uç noktaları: TLS 1.0 / 1.1 kullanarak AWS IoT Core’a bağlanan cihazlar düzgüsel şekilde çalışmaya devam edecek, sadece güvenliğin geleceğe dönük olması amacıyla bu cihazları TLS 1.2’nin minimum sürümünü destekleyecek şekilde güncellemenizi tavsiye ederiz.

    Uç noktalarınızı taşıma

    Sorunsuz bir geçişi kolaylaştırmak için, mevcut alan kişi uç noktalarınızı istediğiniz vakit TLS 1.2 yada TLS 1.3’e geçirmenizi elde eden yapılandırılabilir uç noktaları kullanıma sunduk. Bu esneklik, geçiş sürecini hususi gereksinimlerinize ve programınıza bakılırsa uyarlamanıza olanak tanır. Daha önceki blog gönderimizdeki detaylı talimatları takip edebilirsiniz.

    Hususi tesir alanları ve yapılandırılabilir uç noktalar kurun

    Sunucu sertifikalarınız üstünde daha çok kontrole haiz olmak ve veri uç noktalarınızın davranışlarını yönetmek için AWS IoT Core’da hususi tesir alanları ve yapılandırılabilir uç noktalar oluşturmak. Daha önceki blog gönderimizdeki detaylı talimatları takip edebilirsiniz. Yapılandırmalarınızı üretim ortamlarına dağıtmadan ilkin devamlı kapsamlı bir halde kontrol etmeyi ihmal etmeyin.

    Çözüm

    Bu blog gönderisinde, IoT dağıtımlarınızın geleceğe hazır olmasına destek olacak iki mühim duyuruyu ele aldık.

    Symantec Server ICA sertifikalarına, geçmişteki hizmetlerini kabul ederek veda ederken, ATS imzalı sertifikaları ve ATS uç noktalarını kullanma önerimizle daha kuvvetli güvenlik önlemlerine olan ihtiyacı da kabul ediyoruz. ATS benzer biçimde güvenilir Sertifika Yetkililerinden (CA’lar) çağıl SSL/TLS sunucu sertifikalarına geçiş yaparak, uygulamalarınızı gelişmiş siber tehditlere karşı güçlendirebilir ve en yeni tarayıcılar ve cihazlarla uyumluluk sağlayabilirsiniz.

    İkinci olarak, AWS IoT Core’un denetim düzlemi ve yeni oluşturulan alan kişi uç noktaları için TLS 1.0/1.1’den çıkıp varsayılan olarak TLS 1.2’ye geçerek en yeni TLS 1.2 standartlarını varsayılan olarak benimsedik.

    Son olarak, size sunucu sertifikalarınız üstünde daha çok denetim elde eden ve veri uç noktalarınızın davranışlarını yöneten hususi tesir alanlarından ve yapılandırılabilir uç noktalardan yararlanmanızı tavsiye ederiz.

    Sıkça Sorulan Sorular

    S1: Etkilenip etkilenmediğimi iyi mi anlarım?

    C: ATS Sunucu sertifikası kullanıyorsanız herhangi bir değişim olmaz. Symantec Sunucu sertifikası için, cihazınızın TLS uygulamasının ICA’yı sabitlemediğini doğrulayın, bu durumda mesele yok. Bunun iyi mi yapılacağına dair genel talimatlar veremeyiz, sadece potansiyel olarak önerebileceğimiz bir şey, aygıt kodunuza işlenmiş tüm sertifikalara bakmak ve 2023’te sona erecek bir tane olup olmadığına bakmaktır. sertifikalar, ATS için Amazon Kök CA 1 ve Amazon Kök CA 3 ve Symantec VeriSign Derslik 3 Kamu Birincil Sertifika Yetkilisi – G5’tir.

    S2: AWS IoT Core ile aygıt kontakt davranışında bir değişim fark edersem ne olur?

    Y: Aygıt davranışının değiştiğini yada cihazınızın AWS IoT Core ile kontakt kuramadığını fark ederseniz, lütfen alan kişi desteği yada Teknik Satın alan Yöneticiniz (TAM) ile iletişime geçin.

    Nereden yardım alabilirim?

    Sorularınız var ise AWS Destek yada teknik hesap yöneticiniz (TAM) ile iletişime geçin yada AWS re:Post AWS IoT Forumu’nda yeni bir ileti dizisi başlatın.

    Daha çok informasyon edin

    AWS IoT Core’da TLS 1.2 ve TLS 1.3 desteğinin avantajları ve geçişin iyi mi yapılacağı hakkında daha çok informasyon edinmek için sizi belgelerimizi ziyaret etmeye çağrı ediyoruz:

    • AWS IoT Core – denetim düzlemi uç noktaları: Bağlantı
    • AWS IoT Core – veri düzlemi uç noktaları: Bağlantı
    • Yapılandırılabilir uç nokta özelliği: Bağlantı
    • Tüm AWS API uç noktaları için TLS 1.2: Bağlantı
    • AWS IoT Core aktarım güvenliği: Bağlantı
    • Sertifika verme ve yönetme: Bağlantı
    • AWS Sertifika Yetkilisine Hazırlanma: Bağlantı
    • Aygıt filolarını AWS IoT Hususi Tesir Alanlarına taşıma: Bağlantı
    • AWS IoT ECC Desteği: Bağlantı
    • AWS IoT Core, Müşterilerin Symantec Sertifika Yetkililerine Karşı Yaklaşan Güvensizliği Yönlendirmesine Iyi mi Destek Oluyor: Bağlantı
    • DigiCert Kök sertifikaları: Dış Bağlantı

    yazar hakkında

    Syed Rehan yazar iki
    Syed Rehan, Londra merkezli ve AWS IoT Core Security Foundations ekibinde çalışan Amazon Web Services’ta (AWS) Kıdemli IoT Siber Güvenlik Uzmanıdır. AWS IoT hizmetlerinin benimsenmesini teşvik etmek için güvenlik uzmanları, geliştiriciler ve güvenlik karar vericileri ile iş birliği yaparak küresel bir alan kişi tabanına hizmet vermektedir. Siber güvenlik, Nesnelerin İnterneti ve bulut teknolojileri hakkında derinlemesine informasyon sahibi olan Syed, yeni başlayanlardan büyük işletmelere kadar müşterilere AWS ekosistemi içinde güvenli IoT çözümleri oluşturmalarına olanak tanıyarak destek sağlar.

    Source: aws.amazon.com

    Share.

    Related Posts

    Add A Comment

    Leave A Reply