Authentifizierung von Benutzern und IoT-Geräten mit Gegenseitigkeit TLS

Einweg- und gegenseitiges SSL /TLS Authentifizierung

Eines der bestimmenden Merkmale des SSL /TLS Protokoll ist seine Rolle bei der Authentifizierung ansonsten anonymer Parteien in Computernetzwerken (wie dem Internet). Wenn Sie eine Website mit einem öffentlich vertrauenswürdigen besuchen SSL /TLS BescheinigungIhr Browser kann überprüfen, ob der Websitebesitzer einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters (z. B. SSL.com) erfolgreich die Kontrolle über diesen Domainnamen nachgewiesen hat. Wenn diese Überprüfung fehlschlägt, werden Sie vom Webbrowser gewarnt, dieser Site nicht zu vertrauen.

Für die meisten Anwendungen SSL /TLS verwendet diese Art von Einwegauthentifizierung von einem Server zu einem Client; Ein anonymer Client (der Webbrowser) handelt eine verschlüsselte Sitzung mit einem Webserver aus, der ein öffentlich vertrauenswürdiges SSL / präsentiert.TLS Zertifikat zur Identifizierung während der SSL /TLS Handschlag:

Gegenseitige Authentifizierung, in dem beide Server und Client im SSL /TLS Sitzungen werden authentifiziert, sind ebenfalls möglich und können unter bestimmten Umständen sehr nützlich sein. Bei der gegenseitigen Authentifizierung sendet der Server nach der Authentifizierung während des Handshakes eine CertificateRequest Nachricht an den Kunden. Der Client sendet daraufhin ein Zertifikat zur Authentifizierung an den Server:

Client-Authentifizierung über gegenseitige TLS erfordert, dass ein Zertifikat einschließlich der Client Authentication (1.3.6.1.5.5.7.3.2) Extended Key Usage (EKU) ist auf dem Clientgerät installiert. Alle von SSL.com E-Mail-, Client- und Dokumentensignaturzertifikate Client-Authentifizierung einschließen.

Anwendungsfälle für die gegenseitige Authentifizierung

gegenseitig TLS Die Authentifizierung kann sowohl zur Authentifizierung von Endbenutzern als auch zur gegenseitigen Authentifizierung von Geräten in einem Computernetzwerk verwendet werden.

Benutzerauthentifizierung

Unternehmen und andere Organisationen können digitale Kundenzertifikate an Endbenutzer wie Mitarbeiter, Auftragnehmer und Kunden verteilen. Diese Client-Zertifikate können als Authentifizierungsfaktor für den Zugriff auf Unternehmensressourcen wie Wi-Fi, VPNs und Webanwendungen verwendet werden. Bei Verwendung anstelle (oder zusätzlich zu) herkömmlicher Anmeldeinformationen für Benutzername / Passwort gegenseitig TLS bietet mehrere Sicherheitsvorteile:

• gegenseitig TLS Die Authentifizierung ist nicht anfällig für den Diebstahl von Anmeldeinformationen über Taktiken wie z Phishing. Verizons 2020-Bericht über Datenverletzungsuntersuchungen gibt an, dass fast ein Viertel (22%) der Datenverletzungen auf Phishing zurückzuführen sind. In Phishing-Kampagnen werden leicht abrufbare Anmeldeinformationen wie Website-Anmeldekennwörter verwendet, nicht die privaten Schlüssel für die Client-Zertifikate der Benutzer. Als weitere Verteidigung gegen Phishing alle SSL.com Signieren von E-Mails, Kunden und Dokumenten Zertifikate enthalten öffentlich vertrauenswürdige S/MIME für signierte und verschlüsselte E-Mails.
• gegenseitig TLS Die Authentifizierung kann nicht durch schlechte Passworthygiene oder Brute-Force-Angriffe auf Passwörter beeinträchtigt werden. Sie können verlangen, dass Benutzer sichere Kennwörter erstellen. Woher wissen Sie jedoch, dass sie nicht dasselbe „sichere“ Kennwort auf 50 verschiedenen Websites verwenden oder es auf eine Notiz schreiben lassen? EIN Google-Umfrage 2019 gibt an, dass 52% der Benutzer Kennwörter für mehrere Konten wiederverwenden und 13% der Benutzer dasselbe Kennwort für wiederverwenden alle ihrer Konten.
  
• Kundenzertifikate bieten eine klare Kette des Vertrauensund kann zentral verwaltet werden. Mit gegenseitigen TLSDie Überprüfung, welche Zertifizierungsstelle (CA) die Anmeldeinformationen eines Benutzers ausgestellt hat, wird direkt in den Authentifizierungsprozess integriert. SSL.com Online-Management-Tools, SWS-APIDer Zugriff auf Standardprotokolle wie SCEP macht das Ausstellen, Erneuern und Widerrufen dieser Anmeldeinformationen zum Kinderspiel!

SSL.com bietet mehrere Optionen für die Ausstellung und Verwaltung von Client-Zertifikaten:

• Einzelpersonen oder Organisationen, die nur ein oder wenige Zertifikate benötigen, können bestellen E-Mail-, Client- und Dokumentensignaturzertifikate à la carte von SSL.com.
• Protokolle wie SCEP, EST und CMP können verwendet werden, um die Registrierung und Erneuerung von Clientzertifikaten für firmeneigene Geräte und BYO-Geräte zu automatisieren.
• Für Kunden, die eine große Anzahl von Zertifikaten benötigen, sind über unsere Großhandelsrabatte erhältlich Reseller- und Volumeneinkaufsprogramm.

Authentifizierung von IoT-Geräten

gegenseitig TLS Die Authentifizierung wird auch häufig für die Authentifizierung von Maschine zu Maschine verwendet. Aus diesem Grund gibt es viele Anwendungen für IoT-Geräte (Internet of Things). In der Welt des IoT gibt es viele Fälle, in denen sich ein „intelligentes“ Gerät möglicherweise über ein unsicheres Netzwerk (z. B. das Internet) authentifizieren muss, um auf geschützte Ressourcen auf einem Server zugreifen zu können.

Beispiel: Ein „intelligenter“ Thermostat

Als vereinfachtes Beispiel für gegenseitige TLS Für das IoT betrachten wir einen Hersteller, der einen mit dem Internet verbundenen „intelligenten“ Thermostat für den Heimgebrauch entwickelt. Sobald der Hersteller zu Hause mit dem Internet verbunden ist, möchte er, dass das Gerät Daten an und von den Servern des Unternehmens sendet und empfängt, damit Kunden über ihr Benutzerkonto auf der Website des Unternehmens und zu Hause auf die Temperaturbedingungen und Thermostateinstellungen zugreifen können / oder eine Smartphone-App. In diesem Fall könnte der Hersteller:

• Versenden Sie jedes Gerät mit einem eindeutigen kryptografischen Schlüsselpaar und einem Client-Zertifikat. Da die gesamte Kommunikation zwischen dem Thermostat und den Servern des Unternehmens erfolgt, können diese Zertifikate sein privat vertrauenswürdigDies bietet zusätzliche Flexibilität für Richtlinien wie die Lebensdauer von Zertifikaten.
• Geben Sie einen eindeutigen Gerätecode an (z. B. eine Seriennummer oder ein QR-Code), die der Kunde scannen oder in sein Benutzerkonto auf dem Webportal oder in der Smartphone-App des Herstellers eingeben kann, um das Gerät seinem Konto zuzuordnen.

Sobald das Gerät über das Wi-Fi-Netzwerk des Benutzers mit dem Internet verbunden ist, wird eine Gegenseitigkeit geöffnet TLS Verbindung mit dem Server des Herstellers. Der Server authentifiziert sich beim Thermostat und fordert das Client-Zertifikat des Thermostats an, das dem eindeutigen Code zugeordnet ist, den der Benutzer in sein Konto eingegeben hat.

Die beiden Parteien der Verbindung (Server und Thermostat) sind jetzt gegenseitig authentifiziert und können Nachrichten mit SSL / hin und her senden.TLS Verschlüsselung über Protokolle der Anwendungsschicht wie HTTPS und MQTT. Der Benutzer kann über sein Webportal-Konto oder seine Smartphone-App auf Daten vom Thermostat zugreifen oder Änderungen an seinen Einstellungen vornehmen. Es sind niemals nicht authentifizierte oder Klartextnachrichten zwischen den beiden Geräten erforderlich.

Sprechen Sie mit einem Experten darüber, wie SSL.com Ihnen helfen kann, Ihre IoT-Geräte zu schützen und die Benutzersicherheit gemeinsam zu verbessern TLSBitte füllen Sie das folgende Formular aus und senden Sie es ab:

Wenden Sie sich bezüglich Gegenseitigkeit an einen SSL.com-Spezialisten TLS und das IoT