Azure IoT

Kritischer Wechsel des Root-Zertifikats – was tun?

In unserem letzten Cloud-Artikel wurde darauf verwiesen, dass Cloud-Architekten ihre Lösungen für stetige Änderungen und Anpassungen an die Entwicklungen der Cloud-Umgebung auslegen müssen. Eine solche Umstellung steht nun im Bereich Azure IoT an.

01.07.2021Text: bbv0 Kommentare
Azure IoT_Root-Zertifikat

Ein Grossteil des Internetverkehrs wird von heute mit dem TLS-Protokoll abgesichert. TLS ist der Nachfolger des veralteten SSL-Protokolls und wird oft auch noch so genannt. TLS funktioniert so, dass auf dem Webserver ein Zertifikat installiert ist, welches dem Client bestätigt, dass der Web-Server-Betreiber tatsächlich im Besitz der Domain ist, die der Client aufgerufen hat. Dieses Server-Zertifikat ist ein Jahr gültig, danach muss es erneuert werden. Diese Erneuerung ist kein Problem, da die Server-Zertifikate (auch Leaf-Certificates genannt) über eine Chain-of-Trust von einem bekannten Root-Zertifikat ableiten, welches von einer vertrauenswürdigen Certificate Authority (CA) verwaltet wird. Die Clients, also zum Beispiel unsere Workstations und Smartphones, kennen den öffentlichen Teil dieser globalen Root-Zertifikate und können dadurch jedes Server-Zertifikat verifizieren.

Diese Root-Zertifikate sind 10 bis 20 Jahre gültig. Aber was passiert, wenn ein solches Root-Zertifikat abläuft? Im Allgemeinen nicht viel, da neue Root-Zertifikate zusammen mit Betriebssystem- oder Browser-Updates laufend auf unsere Clients draufgespielt werden. Die Webserver können dann rechtzeitig auf ein neues Root-Zertifikat wechseln, bevor das alte ausläuft. Microsoft hat für viele seiner Dienste im Jahr 2020 das Root-Zertifikat gewechselt, vom sogenannten Baltimore CyberTrust Root, welches nur noch bis 2025 gültig ist und auch nicht mehr den gültigen Anforderungen entspricht, zum DigiCert Global Root G2, das eine Laufzeit bis 2038 hat. Bei zwei Azure Services hat diese Umstellung noch nicht stattgefunden: Azure IoT Hub und Azure IoT Device Provisioning Service.

Warum ist IoT diesbezüglich speziell?

Updates auf IoT-Geräten sind nicht ganz so einfach wie auf Servern, Workstations oder Smartphones. Dafür gibt es mehrere Gründe. Zum einen gibt es einen beträchtlichen Anteil an IoT Devices, die gar kein Betriebssystem haben oder nur ein sehr rudimentäres Betriebssystem ohne automatische Update-Funktionalität. Auch auf diese Geräte muss das neue Root-Zertifikat draufgespielt werden, sonst können sie sich ab Juni 2022 nicht mehr mit dem Azure IoT Hub verbinden. Wer sein IoT-System nicht für solche Remote-Updates ausgelegt hat, muss das Update vor Ort bei jedem Device durchführen.

Ein anderes Problem wäre, wenn die IoT-Devices zwar aktualisiert werden könnten, aber gar nicht am Netz sind, weil sie über längere Zeit in einem Lager stehen. Auch hier bleibt nach Juni 2022 nur ein manuelles Update vor Ort. Ebenfalls betroffen sind Systeme, die ein spezielles «Certificate Pinning» machen, also sich auf dem Client das spezifische Server-Root-Zertifikat merken. Herausfordernd ist die Situation zudem bei sehr kleinen IoT Devices, bei sogenannten «constrained devices», da das alte Zertifikat mit SHA 256 gehashed ist, das neue jedoch mit SHA 384. Hier müssen die entsprechenden Libraries ausgetauscht werden, sofern das Device überhaupt für die höheren Hardware-Anforderungen von SHA 384 ausgelegt ist.

Die gute Nachricht ist, dass das neue Root-Zertifikat schon seit geraumer Zeit verfügbar ist und evtl. bereits von Anfang an auf den IoT Devices vorhanden ist. Im Azure IoT Device SDK für C ist das neue Root-Zertifikat bereits seit März 2017 drin, der entsprechende Commit ist verfügbar. Microsoft hat den Wechsel in der Vergangenheit mehrfach angekündigt, zuletzt mit einem ausführlichen Blog-Artikel und einem Video auf Channel 9. Zu Azure IoT Edge gibt es leider keine spezifischen Informationen von Microsoft. Es ist allerdings sehr wahrscheinlich, dass die Azure IoT Edge Runtime das neue Zertifikat in allen bisherigen Releases bereits mitbringt. Unklar in diesem Zusammenhang ist aber, ob der «Transparent Gateway»-Modus von Azure IoT Edge von der Änderung betroffen ist. Eine entsprechende Anfrage auf GitHub von bbv ist zum Zeitpunkt des Schreibens dieses Artikels noch offen.

5 Fragen und 5 Antworten

Wann werden Devices, die das neue Zertifikat nicht haben, keine Verbindung mehr zum IoT Hub machen können?

Der Roll-Over des Root-Zertifikats findet schrittweise zwischen Juni 2022 und Oktober 2022 statt. Dabei wird eine Region nach der anderen aktualisiert. Es muss damit gerechnet werden, dass ab Juni 2022 keine Verbindung mehr möglich ist.

 Meine Devices verbinden sich mit SAS-URLs, nicht mit Zertifikaten. Bin ich trotzdem von der Umstellung betroffen?

Ja. Die Art und Weise, wie sich das Device gegenüber dem Server (IoT Hub) authentifiziert ist nicht relevant, da es bei dieser Umstellung um das Server-Zertifikat geht.

 Kann ich testen, ob sich meine Devices in Zukunft verbinden können?

Ja. Microsoft stellt einen entsprechenden Test-Endpoint bereit. Die Zugangsdaten dazu sind hier zu finden.

 Handelt es sich um eine einmalige Umstellung?

Nein. Es wird auch in Zukunft immer wieder solche Umstellungen geben, auch zum Beispiel mit Security-Patches. Daher sollten IoT-Systeme immer
a) eine Remote-Update-Funktionalität besitzen für Betriebssystem, Runtime und Applikationen
b) jederzeit aktiv gewartet werden.

Wo kriege ich Hilfe?

Zum einen besteht die Möglichkeit, bei Fragen ein Support-Ticket bei Microsoft zu lösen. Dieses löst man über das Azure-Portal. Zum anderen helfen unsere Experten Ihnen gerne weiter.

Der Autor

Roland Krummenacher

Roland Krummenacher war Cloud-Experte bei bbv. Während seiner Zeit bei bbv hat er über 40 Unternehmen zu Cloud-Themen beraten und in diversen Cloud-Projekten die technische Verantwortung getragen. Er war Microsoft Most Valuable Professional (MVP) für Azure und leitete die Cloud-Community von bbv.

Unser Wissen im Abo

Expansion ins Reich der Mitte

Die lange Reise von der Schweiz nach China

Big Data
Markteintritt in China

Wie China seine Daten schützt

Big Data
Cloud als Innovationsbeschleuniger

Coffee-as-a-Service: Kundenerlebnis neu definiert

Cloud Computing

Attention!

Sorry, so far we got only content in English for this section.

Achtung!

Entschuldigung, bisher haben wir für diesen Abschnitt nur deutschsprachige Inhalte.