Der neue Standard Matter wird in Kürze veröffentlicht und Gerätehersteller sollten ab sofort dafür sorgen, dass ihre Produkte dessen Vorgaben erfüllen und mit dem Matter-Logo gekennzeichnet werden können. Eine der Kernkomponenten der Compliance wird eine Public Key Infrastructure (PKI) sein. Matter wird einige ausgewählte Root-Zertifikate in den vertrauenswürdigen Root-Zertifikatspeichern sogenannter Produktbeglaubigungsstellen oder Zertifizierungsstellen (CA) bereitstellen. Diese Stellen werden Gerätebeglaubigungszertifikate ausstellen, die die sichere Interoperabilität und Vertrauenswürdigkeit Matter-konformer Geräte bestätigen.

Eine Gerätebeglaubigung ist für Matter-konforme Geräte unverzichtbar, denn sie sorgt auf dreierlei Art für sichere Interoperabilität:

1. Sie bestätigt, dass das Gerät von einem vertrauenswürdigen Hersteller stammt.
2. Sie installiert eine starke Identität auf dem Gerät, damit es verfolgt und identifiziert werden kann.
3. Sie ermöglicht validierte, authentifizierte Verbindungen.

Der erste Schritt in Richtung Matter-Compliance sollte daher der Erwerb von Gerätezertifikaten sein, die diese als Matter-vertrauenswürdig ausweisen.

So erhalten Sie Gerätebeglaubigungszertifikate

Wenn es um den Erwerb von Zertifikaten zur Bescheinigung der Matter-Compliance geht, haben Hersteller im Grunde zwei Möglichkeiten: Sie können ein eigenes vertrauenswürdiges Root-Zertifikat zur Ausstellung von Gerätezertifikaten einrichten oder bei einem Matter-konformen Anbieter Zertifikate mit dessen Root-Zertifikat erwerben.

Die CSA erarbeitet derzeit einen Prozess, mit dem Root-Zertifikate zur Aufnahme in ihrem Trust Store eingereicht und akzeptiert werden können. Es wird jedoch nicht leicht sein, Root-Zertifikate in den Trust Store einzufügen. Vertrauenswürdige Root-Zertifikate werden anspruchsvollen Standards genügen und strikte Anforderungen erfüllen müssen, um akzeptiert zu werden. Als Vorreiter in puncto digitale Vertrauenswürdigkeit war DigiCert an der Entwicklung von Matter beteiligt, um von den ersten Projektphasen an dafür zu sorgen, dass der Standard sicher ist. Wir planen, eines der ersten Unternehmen mit einem Matter-konformen Root-Zertifikat zu werden und sind bereit, ein Zertifikat zur Aufnahme in den Trust Store anzumelden, sobald der entsprechende Prozess etabliert ist.

Dennoch beschreiben wir in diesem Beitrag sowohl die Einrichtung eines eigenen Gerätebeglaubigungspfades als auch die Nutzung eines vertrauenswürdigen Root-Zertifikats eines Partnerunternehmens.

Option 1: Einrichtung eines eigenen vertrauenswürdigen Root-Zertifikats

Es ist nicht einfach, als Matter-konforme Zertifizierungsstelle (CA) akzeptiert zu werden. Unter anderem müssen die Eigentümer der entsprechenden Root-Zertifikate spezifische Anforderungen erfüllen und regelmäßige Audits durchführen, um sicherzustellen, dass das große in sie gesetzte Vertrauen gerechtfertigt ist. Ähnlich wie hochgradig vertrauenswürdige Zertifikate zur Authentifizierung von Kreditkartenzahlungen im Internet werden auch Matter-Zertifikate strengen Anforderungen genügen müssen, darunter strikten Audits, Autorisierungen und Prozessen zur Bestätigung der Vertrauenswürdigkeit des Anwenders und der digitalen Vertrauenswürdigkeit seines Internet-Ökosystems.

Und wenn Sie all diese Anforderungen erfüllt und Ihre vertrauenswürdige Matter-CA eingerichtet haben, werden Sie diese kontinuierlich überwachen, aktualisieren und verwalten müssen. Wenn ein Root-Zertifikat in die falschen Hände gerät, könnte das gesamte PKI-Ökosystem angreifbar werden. Deshalb ist kontinuierliches Monitoring erforderlich, um es vor allen Bedrohungen zu schützen und die Compliance aufrechtzuerhalten, wenn die Standards im Laufe der Zeit weiterentwickelt werden. Die aktuelle Matter-Version ist 1.0, doch der Standard wird weiterentwickelt werden, wenn neue Funktionalität dies erforderlich macht. Die Eigentümer von Root-Zertifikaten müssen diese dann ihrerseits umgehend aktualisieren, um immer auf dem neuesten Stand zu sein. Zu guter Letzt muss erwähnt werden, dass auch die Skalierung einer eigenen PKI bei steigender Nutzung Probleme aufwerfen kann.

Zur manuellen Verwaltung des Zertifikatslebenszyklus oder einer PKI Marke Eigenbau muss der Betreiber also immer auf dem neuesten Stand sein, was die kontinuierliche Weiterentwicklung und steigende Komplexität von Unternehmensnetzwerken und die diesbezüglichen Compliance-Standards betrifft. Anders ausgedrückt sollte man ein PKI-Experte sein oder werden, um eine eigene PKI aufzubauen und zu verwalten. Hinzu kommt, dass bei der manuellen Verwaltung des Zertifikatslebenszyklus leicht folgenschwere Fehler auftreten und sowohl finanzielle als auch Reputationsverluste nach sich ziehen können. Eine PKI Marke Eigenbau ist daher nur auf den ersten Blick die kostengünstigere Option. Bei genauerem Hinsehen zeigt sich, dass sie durch den Zeit- und Arbeitsaufwand für die Verwaltung und die potenziellen Folgen von Administrationsfehlern in Wirklichkeit die teurere Option ist. Und damit sind wir bei Option zwei: einer Partnerschaft mit einer professionellen CA mit einem Matter-konformen Root-Zertifikat.

Option 2: Nutzung eines vorhandenen, vertrauenswürdigen Root-Zertifikats

Eine bei Weitem einfachere Methode zum Erwerb von Gerätezertifikaten für die Matter-Compliance ist die Nutzung eines vorhandenen, vertrauenswürdigen Root-Zertifikats. Wenn Sie einen Managed-PKI-Service in Anspruch nehmen, profitieren Sie zudem von schnellerer Marktreife, einfacherer Skalierung und Beratung durch PKI-Experten. Eine private CA bietet Herstellern Matter-konformer Geräte die Skalierbarkeit und Automatisierungskapazitäten, die sie benötigen. Einer Untersuchung der IDC zufolge können Unternehmen im Verlauf von fünf Jahren beinahe eine Million US-Dollar einsparen, indem sie in einen vollständig verwalteten PKI-Service investieren.

Zusammenfassend lässt sich also sagen, dass ein Managed-PKI-Service sich nicht nur einfacher einrichten und verwalten lässt, sondern langfristig auch kostengünstiger ist. Durch eine Partnerschaft mit einer Matter-konformen CA sparen Hersteller Zeit, Geld und Aufwand und können ihre Geräte zudem schneller auf den Markt bringen.

Unsere Empfehlung: Arbeiten Sie mit einem auf vernetztes Vertrauen spezialisierten Anbieter zusammen

Mit DigiCert gelingt Herstellern die schnelle, einfache und umfassende Matter-Compliance. Wir bieten cloudbasierte, Batch-, On-Premises- und andere flexible Bereitstellungsmethoden für die Ausstellung von Gerätebeglaubigungszertifikaten an. Zudem haben wir bereits ein Root-Zertifikat für Testzwecke, mit dem Hersteller ihre Abläufe vor der Überführung in die Produktion testen können. DigiCert wird auch einer der ersten Anbieter mit einem vertrauenswürdigen Root-Zertifikat im Trust Store sein. Hersteller, die mit DigiCert zusammenarbeiten, müssen sich also keine Gedanken über die Einrichtung einer Zertifizierungsstelle machen und können sich voll und ganz auf die schnellstmögliche Marktreife ihrer Produkte konzentrieren.

DigiCert verfügt über die nötige Erfahrung bei der Durchführung von PKI-Programmen und ist der PKI-Experte für Matter, da wir seit drei Jahren an der Entwicklung des Standards mitarbeiten. Als weltweiter Vorreiter in Sachen digitales Vertrauen kann DigiCert Sie bei der schnellen Markteinführung eines breiten Sortiments Matter-konformer Geräte unterstützen. Ein weiteres Plus: Wenn Sie Matter-Zertifikate für Ihre Geräte erworben haben, können Sie diese im DigiCert® IoT Trust Manager, unserer skalierbaren Managementplattform, während ihres gesamten Lebenszyklus schnell und einfach verwalten. Bringen Sie Ihre Produkte schneller und mit dem größten Maß an Vertrauen auf den Markt, ohne selbst ein PKI-System einrichten zu müssen.

Weitere Informationen finden Sie unter https://www.digicert.com/de/iot/matter-iot-device-certification.

Über DigiCert® IoT Trust Manager

Im DigiCert IoT Trust Manager von DigiCert können Unternehmen ihre IoT-Geräte mit einem umfassenden, automatisierten Workflow verwalten, der auch die zertifikatsbasierte Sicherheit, von der Herstellung bis zum Einsatz am Edge, einschließt. Die Plattform bietet die Skalierbarkeit, Flexibilität, Kontrolle und Effizienz, die in einem Netzwerk internetfähiger Geräte erforderlich ist. Administratoren können den gesamten Zertifikatslebenszyklus verfolgen, Sicherheitsupdates einleiten, gerätespezifische Metadaten in Zertifikaten anpassen und so die Compliance aufrechterhalten. Statt eine eigene PKI aufzubauen und selbst zu verwalten und zu pflegen, können sie die PKI-Bereitstellung mit dem DigiCert IoT Trust Manager automatisieren und sich so das Management großer Gerätenetzwerke erheblich erleichtern. Administratoren können die Verwaltung durch die individuelle Anpassung von Berechtigungen und Zugriffsrechten auf unterschiedliche Benutzergruppen aufteilen. Und da der DigiCert IoT Trust Manager ein Bestandteil von DigiCert ONE™ ist, bietet er Ihnen die Flexibilität einer Bereitstellung On-Premises, in Ihrem Land oder in der Cloud, sodass Sie strikte Vorgaben sowie spezifische Integrations- und Air-Gap-Anforderungen erfüllen können.