AWS IoT Core elimina el requisito de la ALPN de TLS y agrega capacidades de autorización personalizadas
Hoy, AWS IoT Core anuncia tres nuevas capacidades para la configuración de dominios. Los dispositivos ya no necesitan confiar en la extensión de la negociación del protocolo de capa de aplicación (ALPN) de la seguridad de la capa de transporte (TLS) para determinar el tipo y el protocolo de autenticación. Además, los desarrolladores pueden agregar validaciones adicionales de certificados de cliente X.509 al flujo de trabajo de autenticación personalizado. Anteriormente, los dispositivos seleccionaban el tipo de autenticación conectándose a un puerto definido y proporcionando el protocolo elegido a la ALPN de TLS. La nueva capacidad de configurar el tipo y el protocolo de autenticación basándose exclusivamente en la extensión de indicación de nombre del servidor (SNI) de TLS simplifica la conexión de dispositivos a la nube sin necesidad de la ALPN de TLS. Esto permite a los desarrolladores migrar las flotas de dispositivos existentes a AWS IoT Core sin actualizaciones de firmware ni cadenas de la ALPN de TLS específicas de Amazon. La combinación de protocolo y tipo de autenticación se asignará a un punto de enlace para todos los puertos TCP compatibles de este dominio personalizado.
Basándose en la característica mencionada anteriormente, AWS IoT Core agregó dos capacidades de autenticación adicionales. La autenticación personalizada con certificados de cliente X.509 permite a los clientes autenticar los dispositivos de IoT mediante certificados X.509 y, a continuación, agregar lógicas de autenticación personalizadas como una capa adicional de control de seguridad. En segundo lugar, la validación de certificados de cliente personalizados permite a los clientes validar el certificado de cliente X.509 en función de una función de Lambda personalizada. Por ejemplo, los desarrolladores pueden crear comprobaciones personalizadas de revocación de certificados, como el Protocolo de estado de certificados en línea y la lista de revocación de certificados, antes de permitir que un cliente se conecte.
Las tres capacidades están disponibles en todas las regiones de AWS en las que está presente AWS IoT Core, excepto en AWS GovCloud (EE. UU.). Consulte la guía para desarrolladores si desea obtener más información acerca de esta característica.