Godkendelse af brugere og IoT-enheder med gensidig TLS

Envejs og gensidig SSL /TLS Godkendelse

En af de definerende funktioner i SSL /TLS protokol er dens rolle i godkendelse af ellers anonyme parter på computernetværk (såsom internettet). Når du besøger et websted med en offentligt betroet SSL /TLS certifikat, kan din browser kontrollere, at webstedejeren med succes har demonstreret kontrol over dette domænenavn til en betroet tredjepartscertifikatmyndighed (CA), såsom SSL.com. Hvis denne verifikation mislykkes, advarer webbrowseren dig om ikke at stole på dette websted.

For de fleste applikationer, SSL /TLS bruger denne slags envejsgodkendelse af en server til en klient; en anonym klient (webbrowseren) forhandler en krypteret session med en webserver, der præsenterer en offentligt betroet SSL /TLS certifikat til at identificere sig selv under SSL /TLS håndtryk:

envejsgodkendelseGensidig godkendelse, hvor begge server og klient i SSL /TLS session er godkendt, er også mulig og kan være meget nyttig under visse omstændigheder. I gensidig godkendelse, når serveren er godkendt under håndtrykket, sender den en CertificateRequest besked til klienten. Klienten vil svare ved at sende et certifikat til serveren til godkendelse:

gensidig godkendelseKlientgodkendelse via gensidig TLS kræver, at et certifikat inklusive Client Authentication (1.3.6.1.5.5.7.3.2) Extended Key Usage (EKU) er installeret på klientenheden. Alle SSL.com's E-mail-, klient- og dokumentsigneringscertifikater inkluderer klientgodkendelse.

Sager om gensidig godkendelse

Gensidig TLS godkendelse kan bruges både til at godkende slutbrugere og til gensidig godkendelse af enheder på et computernetværk.

Brugergodkendelse

Virksomheder og andre organisationer kan distribuere digitale klientcertifikater til slutbrugere som medarbejdere, entreprenører og kunder. Disse klientcertifikater kan bruges som en godkendelsesfaktor for adgang til virksomhedsressourcer såsom Wi-Fi, VPN'er og webapplikationer. Når det bruges i stedet for (eller ud over) traditionelle brugernavn / adgangskode legitimationsoplysninger, gensidig TLS tilbyder flere sikkerhedsfordele:

  • Gensidig TLS godkendelse er ikke sårbar over for legitimationstyveri via taktik som f.eks Phishing. Verizons 2020 Rapport om dataovertrædelse indikerer, at næsten en fjerdedel (22%) af dataovertrædelserne skyldes phishing. Phishing-kampagner er ude for let høstede legitimationsoplysninger som login-adgangskoder til websteder, ikke de private nøgler til brugernes klientcertifikater. Som et yderligere forsvar mod phishing, alle SSL.com'er E-mail-, klient- og dokumentsignering certifikater inkluderer offentligt tillid S/MIME til signeret og krypteret e-mail.
  • Gensidig TLS godkendelse kan ikke kompromitteres af dårlig adgangskodshygiejne eller brutale angreb på adgangskoder. Du kan kræve, at brugerne opretter stærke adgangskoder, men hvordan ved du, at de ikke bruger den samme "sikre" adgangskode på 50 forskellige websteder eller har den skrevet på en klæbrig note? EN Google-undersøgelse fra 2019 angiver, at 52% af brugerne genbruger adgangskoder til flere konti, og 13% af brugerne genbruger den samme adgangskode til alle af deres konti.
  • Klientcertifikater giver en klar kæde af tillidog kan styres centralt. Med gensidig TLS, verifikation af, hvilken certifikatmyndighed (CA), der har udstedt en brugers legitimationsoplysninger, bages direkte i godkendelsesprocessen. SSL.com's online styringsværktøjer, SWS APIog adgang til standardprotokoller som SCEP gør udgivelse, fornyelse og tilbagekaldelse af disse legitimationsoplysninger et øjeblik!

SSL.com tilbyder flere muligheder for udstedelse og styring af klientcertifikater:

  • Enkeltpersoner eller organisationer, der kun kræver et eller et par certifikater, kan bestille E-mail-, klient- og dokumentsigneringscertifikater á la carte fra SSL.com.
  • Protokoller som SCEP, EST og CMP kan bruges til at automatisere tilmelding og fornyelse af klientcertifikater til virksomhedsejede enheder og BYO-enheder.
  • For kunder, der har brug for en stor mængde certifikater, fås engrosrabatter via vores Forhandler- og volumenindkøbsprogram.

 

Godkendelse af IoT-enheder

Gensidig TLS godkendelse bruges også i vid udstrækning til maskine-til-maskine-godkendelse. Af denne grund har den mange applikationer til IoT-enheder (Internet of Things). I IoT's verden er der mange tilfælde, hvor en "smart" enhed muligvis skal autentificere sig selv over et usikkert netværk (såsom internettet) for at få adgang til beskyttede ressourcer på en server.

Eksempel: En “smart” termostat

Som et forenklet eksempel på gensidig TLS til IoT vil vi overveje en producent, der designer en internetforbundet "smart" termostat til hjemmebrug. Når der først er oprettet forbindelse til internettet i kundens hjem, vil producenten gerne have, at enheden sender og modtager data til og fra virksomhedens servere, så kunderne kan få adgang til temperaturforhold og termostatindstillinger i deres hjem via deres brugerkonto på virksomhedens hjemmeside og / eller en smartphone-app. I dette tilfælde kunne producenten:

  • Send hver enhed med et unikt kryptografisk nøglepar og klientcertifikat. Da al kommunikation foregår mellem termostaten og virksomhedens servere, kan disse certifikater muligvis være privat tillid, der giver yderligere fleksibilitet til politikker som certifikatets levetid.
  • Angiv en unik enhedskode (såsom et serienummer eller QR-kode), som kunden kan scanne eller indtaste deres brugerkonto på producentens webportal eller smartphone-app for at knytte enheden til deres konto.

Når enheden er tilsluttet internettet via brugerens Wi-Fi-netværk, åbner den en gensidig TLS forbindelse til producentens server. Serveren godkender sig selv til termostaten og anmoder om termostats klientcertifikat, som er knyttet til den unikke kode, som brugeren har indtastet på deres konto.

De to parter til forbindelsen (server og termostat) er nu gensidigt godkendt og kan sende meddelelser frem og tilbage med SSL /TLS kryptering over applikationslagsprotokoller som HTTPS og MQTT. Brugeren kan få adgang til data fra termostaten eller foretage ændringer i dens indstillinger med deres webportalkonto eller smartphone-app. Der er aldrig behov for uautoriserede eller klare tekstbeskeder mellem de to enheder.

At tale med en ekspert om, hvordan SSL.com kan hjælpe dig med at sikre dine IoT-enheder og forbedre brugersikkerhed med gensidig TLS, udfyld og indsend nedenstående formular:

Kontakt en SSL.com-specialist om Mutual TLS og IoT

Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side. Du kan også finde svar på mange almindelige supportspørgsmål i vores vidensbase.

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.