Mit der neuen Version des Certificate Managers wird die Lösung als eine der ersten kommerziellen Certificate Authority (CA) Plattform auch das EST (Enrollment over Secure Transport)-Protokoll unterstützen. „Wir freuen uns, dass wir unter den ersten Anbietern sind, die das EST-Protokoll auch auf Server-Seite unterstützen“, erklärt Martin Furuhed, der bei Nexus für den Certificate Manager verantwortlich ist.
Auch Geräte und Software benötigen eine vertrauenswürdige digitale Identität, um sicher miteinander kommunizieren zu können. Eine sichere digitale Identität schützt sie auch vor Hacker-Angriffen. Für die Vertrauenswürdigkeit sorgen digitale Zertifikate, die entweder manuell oder über entsprechende Anbieter online verteilt werden. Hierfür können verschiedene Protokolle genutzt werden. Allerdings haben die heute gebräuchlichsten Protokolle, wie SCEP oder CMC, auch Schwächen.
„Das EST-Protokoll macht die Zertifikatsverteilung einfacher, ist sicherer und bietet mehr Funktionen“, erklärt der Experte das Besondere des Protokolls.
Vorteile gegenüber Protokollen wie SCEP, CMP, CMC
Ein Problem des weit verbreiteten SCEP-Protokolls (Simple Certificate Enrollment Protocol) ist, dass es keine Erstellung und Verteilung von Schlüsseln auf Server-Seite unterstützt. Außerdem ist es nur bedingt geeignet, Zertifikate für Clients und CA zu erneuern.
„SCEP ist nicht standardisiert, Das bedeutet, dass es auf verschiedene Arten implementiert werden kann. Das kann Probleme beim Zusammenspiel verursachen“, erklärt Furuhed. „Mit dem EST-Protokoll lassen sich diese Schwierigkeiten lösen.“
Die Protokolle CMP (Certificate Management Protocol) und CMC (Certificate Management over CMS sind ebenfalls weit verbreitet. Sie sind standardisiert und bieten viele Funktionalitäten. Aber im Vergleich zu EST und SCEP es ist schwieriger, sie auf Clients zu implementieren. Deshalb sind sie auf Geräten mit begrenzten Ressourcen nicht weit verbreitet.
„Mit dem EST-Protokoll können die Verteilungsprozesse beschleunigt und automatisiert werden. Aus diesem Grund ist es gut geeignet für komplexe IoT-Umgebungen. Außerdem reduziert die Möglichkeit der Automatisierung die Kosten und erhöht die Sicherheit. Deshalb gehen wir davon aus, dass das EST-Protokoll sich durchsetzen wird“, fasst Furuhed zusammen.
Nachrüstbar per Firmware-Update
Das EST-Protokoll wurde 2013 standardisiert (RFC 7030) und hauptsächlich von Cisco entwickelt. Cisco hat auch eine Referenzimplementierung zum Testen und Entwickeln aufgebaut. Außerdem sind einige experimentelle EST-Server verfügbar, zum Beispiel für die Microsoft Certificate Services.
„Nexus ist unter den ersten Unternehmen, das EST in einem kommerziellen Produkt unterstützt. Für uns ist es wichtig, technologisch in der Spitze zu sein“, erklärt Furuhed.
Außerdem arbeitet Nexus mit dem schwedischen Forschungsinstitut SICS zusammen. Das Ergebnis des gemeinsamen Projekts CEBOT ist ein extrem leichtgewichtiges Protokoll, mit dem sich vertrauenswürdige Identitäten auch für Geräte mit sehr begrenzten Ressourcen bereitstellen lassen.
„Das EST-Protokoll eignet sich hervorragend für den Einsatz auf Geräten wie Bankautomaten, Überwachungskameras, Routern oder Geräten für das Smart Home. Da jetzt auch eine kommerzielle CA verfügbar ist, die das Protokoll server-seitig unterstützt, wird auch die Unterstützung auf Client-Seite zunehmen“, ist sich Furuhed sicher. „Ein weiterer Vorteil des EST-Protokolls ist, dass es per Firmware-Update nachrüstbar ist.“
Eine Funktion unterstützt das EST-Protokoll allerdings nicht: das automatische Erneuern von Zertifikaten. Das muss von der Certificate Authority Software geleistet werden. Aber auch hierfür hat Nexus eine Lösung. Mit der neuen Version des Nexus Certificate Managers erscheint auch eine REST API, die die Implementierung einfacher macht.
„Die neue REST API macht es für Kunden und Entwickler einfacher, entsprechende Funktionen für die Zertifikatserneuerung zu implementieren“, erklärt Furuhed.
https://vimeo.com/203992313