Jednosměrný a vzájemný SSL /TLS Ověřování
Jednou z definujících funkcí SSL /TLS Protokol je jeho role při ověřování jinak anonymních stran v počítačových sítích (například na internetu). Když navštívíte web s veřejně důvěryhodnými SSL /TLS certifikát, může váš prohlížeč ověřit, že vlastník webu úspěšně prokázal kontrolu nad tímto názvem domény důvěryhodnému certifikačnímu úřadu třetí strany, například SSL.com. Pokud toto ověření selže, webový prohlížeč vás upozorní, abyste tomuto webu nedůvěřovali.
Pro většinu aplikací, SSL /TLS používá tento druh jednosměrné ověřování serveru klientovi; anonymní klient (webový prohlížeč) vyjedná šifrovanou relaci s webovým serverem, který představuje veřejně důvěryhodný SSL /TLS certifikát k identifikaci během SSL /TLS stisk ruky :
Vzájemné ověřování, ve kterém oba servery a klient v SSL /TLS relace jsou ověřeny, je také možná a může být za určitých okolností velmi užitečná. Ve vzájemném ověřování, jakmile je server ověřen během handshake, pošle CertificateRequest zpráva klientovi. Klient odpoví zasláním certifikátu na server k ověření:
Ověření klienta prostřednictvím vzájemné TLS vyžaduje, aby certifikát včetně Client Authentication (1.3.6.1.5.5.7.3.2) Na klientském zařízení je nainstalováno EKU (Extended Key Usage). Všechny stránky SSL.com Certifikáty pro podepisování e-mailů, klientů a dokumentů zahrnout ověření klienta.
Případy použití vzájemného ověřování
vzájemný TLS ověřování lze použít jak k ověření koncových uživatelů, tak k vzájemnému ověřování zařízení v počítačové síti.
Ověření uživatele
Obchodní a další organizace mohou distribuovat certifikáty digitálních klientů koncovým uživatelům, jako jsou zaměstnanci, dodavatelé a zákazníci. Tyto klientské certifikáty lze použít jako faktor ověřování pro přístup k podnikovým prostředkům, jako jsou Wi-Fi, VPN a webové aplikace. Při použití namísto (nebo navíc) tradičních pověření uživatelského jména / hesla, vzájemné TLS nabízí několik bezpečnostních výhod:
- vzájemný TLS ověřování není zranitelné vůči krádeži pověření prostřednictvím taktiky, jako je Phishing. Verizon je Zpráva o vyšetřování porušení údajů za rok 2020 naznačuje, že téměř čtvrtina (22%) porušení zabezpečení údajů je způsobena phishingem. Phishingové kampaně se zaměřují na snadno získatelné údaje, jako jsou hesla pro přihlášení k webu, nikoli soukromé klíče k klientským certifikátům uživatelů. Jako další obrana proti phishingu všechny SSL.com Podepisování e-mailů, klientů a dokumentů certifikáty zahrnují veřejně důvěryhodné S/MIME pro podepsaný a šifrovaný e-mail.
- vzájemný TLS autentizaci nelze ohrozit špatnou hygienou hesel nebo útoky hrubou silou na hesla. Můžete požadovat, aby uživatelé vytvářeli silná hesla, ale jak víte, že nepoužívají stejné „zabezpečené“ heslo na 50 různých webech nebo ho mají napsané na lístku s poznámkou? A Průzkum Google z roku 2019 označuje, že 52% uživatelů znovu používá hesla pro více účtů a 13% uživatelů používá stejné heslo všechno jejich účtů.
- Klientské certifikáty nabízejí jasné řetěz důvěrya lze je spravovat centrálně. Se vzájemným TLS, ověření, která certifikační autorita (CA) vydala přihlašovací údaje uživatele, je pečeno přímo do procesu ověřování. SSL.com online nástroje pro správu, SWS APIa díky přístupu ke standardním protokolům, jako je SCEP, je vydávání, obnovování a odvolávání těchto pověření hračkou!
SSL.com nabízí několik možností pro vydávání a správu klientských certifikátů:
- Mohou si objednat jednotlivci nebo organizace vyžadující pouze jeden nebo několik certifikátů Certifikáty pro podepisování e-mailů, klientů a dokumentů á la carte z SSL.com.
- Protokoly jako SCEP, EST a CMP lze použít k automatizaci registrace a obnovy klientských certifikátů pro zařízení vlastněná společností a BYO.
- Pro zákazníky vyžadující velké množství certifikátů jsou prostřednictvím našeho obchodu k dispozici velkoobchodní slevy Program distributora a hromadného nákupu.
Ověřování zařízení IoT
vzájemný TLS ověřování se také široce používá pro ověřování mezi stroji. Z tohoto důvodu má mnoho aplikací pro zařízení internetu věcí (IoT). Ve světě IoT existuje mnoho případů, kdy se „chytré“ zařízení může kvůli přístupu k chráněným prostředkům na serveru muset ověřit prostřednictvím nezabezpečené sítě (například internetu).
Příklad: „Inteligentní“ termostat
Jako zjednodušený příklad vzájemného TLS pro IoT budeme uvažovat o výrobci, který navrhuje „inteligentní“ termostat připojený k internetu pro domácí použití. Po připojení k internetu v domácnosti zákazníka by výrobce chtěl, aby zařízení odesílalo a přijímalo data na servery společnosti a ze serverů, aby zákazníci měli přístup k teplotním podmínkám a nastavením termostatu v jejich domácnosti prostřednictvím svého uživatelského účtu na webových stránkách společnosti a / nebo aplikace pro smartphone. V takovém případě by výrobce mohl:
- Dodejte každému zařízení jedinečný pár kryptografických klíčů a certifikát klienta. Protože veškerá komunikace bude probíhat mezi termostatem a servery společnosti, tyto certifikáty mohou být soukromě důvěryhodné, nabízející další flexibilitu pro zásady, jako je životnost certifikátu.
- Zadejte jedinečný kód zařízení (například sériové číslo nebo QR kód), které může zákazník naskenovat nebo zadat do svého uživatelského účtu na webovém portálu výrobce nebo v aplikaci pro smartphone, aby zařízení přidružil k jeho účtu.
Jakmile je zařízení připojeno k internetu prostřednictvím Wi-Fi sítě uživatele, otevře se vzájemná komunikace TLS spojení se serverem výrobce. Server se sám ověří termostatu a vyžádá si certifikát klienta termostatu, který je spojen s jedinečným kódem zadaným uživatelem do jeho účtu.
Obě strany připojení (server a termostat) jsou nyní vzájemně ověřeny a mohou posílat zprávy tam a zpět pomocí SSL /TLS šifrování přes protokoly aplikační vrstvy jako HTTPS a MQTT. Uživatel může přistupovat k datům z termostatu nebo provádět změny v jeho nastavení pomocí účtu webového portálu nebo aplikace pro smartphone. Mezi těmito dvěma zařízeními nikdy není potřeba neautentizovaných zpráv nebo zpráv ve formátu prostého textu.
Mluvit s odborníkem o tom, jak vám SSL.com může pomoci zabezpečit vaše zařízení IoT a zlepšit vzájemné zabezpečení uživatelů TLS, vyplňte a odešlete následující formulář:
