如何更新 AWS IoT Core 中变化的证书要求 官方博客

更新 AWS IoT Core 的证书要求

关键要点

在这篇文章中,我们将讨论如下要点:

由于新版本的安全性要求,AWS IoT Core 将默认启用 TLS 12。重要的 Symantec Server Intermediate Certificate Authority (ICA) 将在 2023 年 10 月 31 日到期。使用 AWS IoT Core 的客户需要迁移到 ATS 签名的根证书,以确保未来的安全性和兼容性。

概述

在本文中,我们将讨论即将对 Symantec Server Intermediate Certificate Authority (ICA) 进行的更改,并介绍将控制平面端点和新创建的客户端点默认切换至 TLS 12 的计划。同时,我们还将分享如何使用 AWS IoT Core 的自定义域和可配置端点功能的建议。此外,您还将了解如何使用客户端自定义证书自签名证书连接到单个受信任端点,从而消除与公共 CA 相关的不确定性。

变更 #1:更新 Symantec Server ICA

为了使客户默认使用最新的安全功能,我们将 AWS IoT Core 的控制平面端点和新创建的客户端点切换为 TLS 12,并使用基于 VeriSign Class 3 Public Primary Certification Authority G5 的新服务器证书。此外,出于向后兼容性考虑,我们将所有现有客户端点保留在当前的 TLS 版本和设置下。我们建议客户根据需要通过 AWS IoT Core 的可配置端点功能迁移现有客户端点到 TLS 12 或 TLS 13。

Symantec Server ICA 的更新

当前的 Symantec Server ICA 将在 2023 年 10 月 31 日到期,更新的 Symantec Server ICA 将用于发行所有 Symantec 服务器端证书。

Symantec 的服务器证书信任链

图 10

此变更仅适用于数据平面,适用于 Symantec 端点。使用 Amazon Trust Services (ATS) 端点的客户将不受影响。AWS 建议您不要使用证书固定,因为这会带来可用性风险。然而,如果您的用例需要证书固定,AWS 建议您固定到 ATS 签名的 Amazon Root CA 1 或 Amazon Root CA 3,而不是中间 CA 或叶证书。如果您最初固定到 Symantec Root CAVeriSign Class 3 Public Primary Certification Authority G5,则您的设备仍然可以继续连接到 AWS IoT Core。

行动/建议:

当前的 Symantec Server Intermediate Certificate Authority (ICA) 证书将于 10 月 31 日到期,我们正在逐步推出基于 VeriSign Class 3 Public Primary Certification Authority G5 的新服务器 ICA 证书。AWS 将仔细监测这一过程,如发现不兼容的设备,会联系客户。如您发现设备行为异常或无法与 AWS IoT Core 通信,请联系 客户支持 或您的技术账户经理 (TAM)。我们强烈建议移除对这些不受信任的 Symantec Server ICA 证书的任何硬编码关联,使用公共信任的根 CA例如 ATS 签名的 Amazon Root CA 1 或 Amazon Root CA 3,以确保应用程序的安全及兼容性。使用 Amazon Trust Services (ATS) 端点,并更新固件以验证完整的证书链。请确保您的设备中至少包含 Amazon Root CA 1 和 Amazon Root CA 3。如果您的设备容量允许,建议将所有五个证书均放入存储中,以便最大化未来的兼容性。如果您固定到 Symantec Server Intermediate Certificate Authority (ICA) 证书,并在更新后遇到连接失败,请更新固件以验证完整的证书链。您可以找到此证书 这里。使用自定义域和可配置端点:可配置端点允许您控制应用于您设备的 TLS 策略,可以通过创建具有新策略的端点,然后在设备准备好时迁移设备来逐步完成。建议设置两个独立的端点:一个用于使用公共 CA 的移动应用,另一个专用于使用私有 CA或自签名证书的设备,并全面了解您的 TLS 安全策略。请勿限制客户端的证书大小。公共 CA 要求定期更新服务器证书,附加的 OCSP 响应者 URL 和其他选项可能会随着时间推移而增加服务器证书的大小。建议留有足够的缓冲区来处理未来的服务器证书。您可以通过 AWS IoT Core 设备顾问 验证设备对大服务器证书的兼容性。

使用 Amazon Trust Services (ATS) 签名的根 CA

以下是将您的设备更新为使用 ATS 签名根 CA 的步骤:

确定您的设备当前使用的根 CA。您可以通过查看设备连接到 AWS IoT Core 时呈现的服务器证书链来进行确认。从 AWS IoT 文档 下载 ATS 签名的根 CA。将 ATS 签名的根 CA 安装到您的设备信任库中。具体步骤将根据您所使用的设备类型而有所不同。测试您的设备,确保它们可以使用 ATS 签名的根 CA 连接到 AWS IoT Core。

变更 #2:更新 TLS 配置

作为我们持续致力于安全工作的延续,我们很高兴地宣布 AWS IoT Core 的控制平面端点和新创建的客户端点将默认使用 TLS 12 或更高版本。这一升级确保您受益于最新的行业安全标准与增强功能。我们还想提醒您 AWS 将更新所有 AWS 服务 API 端点的 TLS 配置,以最低要求为 TLS 12。

行动/建议:

控制平面端点:如果您使用的是 TLS 10/11,您需要开始使用 TLS 12 或更高版本进行这些连接。数据平面端点:使用 TLS 10/11 连接到 AWS IoT Core 的设备将正常运行,但我们建议更新这些设备以支持最低版本的 TLS 12,以确保未来安全。

迁移您的端点

为了方便迁移,我们推出了可配置端点,使您可以根据需要在适合自己的时间将现有客户端点迁移至 TLS 12 或 TLS 13。这一灵活性允许您根据特定需求和时间表制定迁移计划。您可以在我们之前的 博客文章 中找到详细说明。

设置自定义域和可配置端点

在 AWS IoT Core 中设置自定义域和可配置端点,以便更好地控制您的服务器证书,并管理您的数据端点行为。您可以在我们之前的 博客文章 中找到详细说明。请记得在将配置部署到生产环境之前进行彻底的测试。

结论

在这篇博客中,我们讨论了两项重要公告,旨在帮助您未来的 IoT 部署。

我们告别了 Symantec Server ICA 证书,承认其过往服务,同时也意识到需要采取更强的安全措施,并推荐使用 ATS 签名证书以及 ATS 端点。通过迁移到现代 SSL/TLS 服务器证书,借助受信任的证书颁发机构 (CA),您可以增强应用程序的安全性,以抵御高级网络威胁,确保与最新浏览器和设备的兼容性。

其次,我们将 TLS 12 标准作为默认标准,用 TLS 12 代替 TLS 10/11,并为 AWS IoT Core 的控制平面和新创建的客户端点默认启用。

如何更新 AWS IoT Core 中变化的证书要求 官方博客

最后,我们建议利用自定义域和可配置端点,给予您更大的服务器证书管理和数据端点行为控制。

常见问题解答

Q1:如何知道自己是否受到影响?

如果您使用的是 ATS 服务器证书,则没有变更。如果使用的是 Symantec 服务器证书,请确认您的设备的 TLS 实现没有固定 ICA,您就可以顺利过渡。我们不能给出通用的指导,但可以建议您查看嵌入设备代码中的所有证书,查看是否有在 2023 年到期的证书。您也可以确认嵌入证书为 ATS 的 Amazon Root CA 1 和 Amazon Root CA 3,或 Symantec 的 VeriSign Class 3 Public Primary Certification Authority G5。

Q2:如果我注意到与 AWS IoT Core 的设备通信行为发生了变化怎么办?

如果您注意到设备行为变化或设备无法与 AWS IoT Core 通信,请联系 客户支持 或您的技术账户经理 (TAM)。

我在哪里可以获得帮助?

如有疑问,请联系 AWS 支持 或您的技术账户经理 (TAM),或在 AWS rePost AWS IoT 论坛 开启新线程。

了解更多

欲了解有关 AWS IoT Core 中支持 TLS 12 和 TLS 13 的更多优势及如何进行过渡,请访问我们的文档:

加速器试用3天免费AWS IoT Core 的控制平面端点 链接AWS IoT Core 的数据平面端点 链接可配置端点功能 链接所有 AWS API 端点的 TLS 12 链接AWS IoT Core 传输安全 链接签发和管理证书 链接准备 AWS 证书颁发机构 链接将设备群迁移至 AWS IoT 自定义域 链接AWS IoT ECC 支持 链接AWS IoT Core 如何帮助客户应对即将到来的对 Symantec 证书颁发机构的不信任 链接DigiCert 根证书 外部链接

关于作者

Syed Rehan 是亚马逊网络服务AWS的一名高级物联网网络安全专家,工作地点位于伦敦,工作于 AWS IoT Core 安全基础团队。他服务于全球客户群,与安全专家、开发者和安全决策者合作,推动 AWS IoT 服务的采用。Syed 拥有深入的网络安全、物联网和云技术知识,帮助从初创公司到大型企业的客户在 AWS 生态系统内构建安全的物联网解决方案。

订阅邮箱