Особенности настройки параметров безопасности OPC UA

Kaspersky IoT Secure Gateway 100 не устанавливает соединение по протоколу OPC UA в следующих случаях:

• сервер не имеет сертификата и не разрешено небезопасное подключение;
• в параметре trustList не указан сертификат сервера и не установлено значение AllowAll;
• сертификат клиента, сертификат сервера или криптографические ключи не удовлетворяют параметрам выбранной политики безопасности.

Клиент и сервер OPC UA устанавливают небезопасное соединение в следующих случаях:

• установлено значение null для блоков параметров security и userCredentials, и сервер поддерживает такое соединение;
• установлено значение Any для полей mode и policy, и сервер предлагает выбор небезопасного соединения.

Любое понижение параметров безопасности снижает защищенность соединения. Например, следующие настройки параметров снижают защищенность соединения по протоколу OPC UA:

• Использование значения null для блока параметров security приводит к использованию соединения без шифрования и подписи.
• Использование значения AllowAll для поля trustList отключает проверку сертификата сервера.
• Использование значения null для блока параметров userCredentials отключает возможность подключения к серверу с использованием имени пользователя и пароля.
• Значения Basic128Rsa15 и Basic256 для поля policy считаются устаревшими в спецификации протокола OPC UA версии 1.4, так как алгоритм хеширования SHA-1 больше не считается безопасным.
• Использование значения None для полей policy или mode приводит к:
  • использованию соединения без шифрования и подписи данных;
  • передаче пароля серверу в открытом виде.