SSL unidireccional y mutuo /TLS Autenticación
Una de las características definitorias de SSL /TLS El protocolo es su papel en la autenticación de partes que de otro modo serían anónimas en redes informáticas (como Internet). Cuando visita un sitio web con una confianza pública SSL /TLS certificado, su navegador puede verificar que el propietario del sitio web haya demostrado con éxito el control sobre ese nombre de dominio a una autoridad de certificación (CA) de terceros de confianza, como SSL.com. Si esta verificación falla, el navegador web le advertirá que no confíe en ese sitio.
Para la mayoría de las aplicaciones, SSL /TLS usa este tipo de autenticación unidireccional de un servidor a un cliente; un cliente anónimo (el navegador web) negocia una sesión cifrada con un servidor web, que presenta un SSL / de confianza públicaTLS certificado para identificarse durante el SSL /TLS apretón de manos:
Autenticacion mutua, en el que ambos servidores y cliente en el SSL /TLS se autentican, también es posible y puede ser muy útil en algunas circunstancias. En la autenticación mutua, una vez que el servidor se autentica durante el protocolo de enlace, enviará un CertificateRequest
mensaje al cliente. El cliente responderá enviando un certificado al servidor para su autenticación:
Autenticación del cliente vía mutua TLS requiere que un certificado que incluya el Client Authentication (1.3.6.1.5.5.7.3.2)
El uso de clave extendido (EKU) está instalado en el dispositivo cliente. Todos los de SSL.com Certificados de firma de documentos, clientes y correo electrónico incluir autenticación de cliente.
Casos de uso de autenticación mutua
Mutuo TLS La autenticación se puede utilizar tanto para autenticar a los usuarios finales como para la autenticación mutua de dispositivos en una red informática.
Autenticacion de usuario
Las empresas y otras organizaciones pueden distribuir certificados de clientes digitales a usuarios finales como empleados, contratistas y clientes. Estos certificados de cliente se pueden utilizar como factor de autenticación para acceder a recursos corporativos como Wi-Fi, VPN y aplicaciones web. Cuando se usa en lugar de (o además de) las credenciales tradicionales de nombre de usuario / contraseña, TLS ofrece varias ventajas de seguridad:
- Mutuo TLS La autenticación no es vulnerable al robo de credenciales a través de tácticas como suplantación de identidad. De Verizon Informe de investigaciones de violación de datos de 2020 indica que casi una cuarta parte (22%) de las filtraciones de datos se deben al phishing. Las campañas de phishing buscan credenciales fácilmente recolectadas, como contraseñas de inicio de sesión en sitios web, no las claves privadas de los certificados de cliente de los usuarios. Como defensa adicional contra el phishing, todos los Firma de correo electrónico, cliente y documentos los certificados incluyen de confianza pública S/MIME para correo electrónico firmado y cifrado.
- Mutuo TLS la autenticación no puede verse comprometida por una higiene deficiente de las contraseñas o ataques de fuerza bruta a las contraseñas. Puede exigir que los usuarios creen contraseñas seguras, pero ¿cómo sabe que no utilizan la misma contraseña "segura" en 50 sitios web diferentes o la tienen escrita en una nota adhesiva? UNA Encuesta de Google 2019 indica que el 52% de los usuarios reutilizan contraseñas para varias cuentas y el 13% de los usuarios reutilizan la misma contraseña para all de sus cuentas.
- Los certificados de cliente ofrecen una clara cadena de confianzay se puede gestionar de forma centralizada. Con mutuo TLS, la verificación de qué autoridad de certificación (CA) emitió las credenciales de un usuario se incluye directamente en el proceso de autenticación. SSL.com's herramientas de gestión online, API SWSy el acceso a protocolos estándar como SCEP facilitan la emisión, renovación y revocación de estas credenciales.
SSL.com ofrece múltiples opciones para la emisión y gestión de certificados de clientes:
- Las personas u organizaciones que requieran solo uno o algunos certificados pueden solicitar Certificados de firma de documentos, clientes y correo electrónico a la carta de SSL.com.
- Se pueden usar protocolos como SCEP, EST y CMP para automatizar la inscripción y renovación de certificados de clientes para dispositivos BYO y propiedad de la empresa.
- Para los clientes que requieren una gran cantidad de certificados, los descuentos al por mayor están disponibles a través de nuestro Programa de revendedores y compras por volumen.
Autenticación de dispositivos IoT
Mutuo TLS La autenticación también se usa ampliamente para la autenticación de máquina a máquina. Por esta razón, tiene muchas aplicaciones para dispositivos de Internet de las cosas (IoT). En el mundo de IoT, hay muchos casos en los que un dispositivo "inteligente" puede necesitar autenticarse a sí mismo a través de una red insegura (como Internet) para acceder a recursos protegidos en un servidor.
Ejemplo: un termostato "inteligente"
Como ejemplo simplificado de mutuo TLS para IoT, consideraremos un fabricante que está diseñando un termostato “inteligente” conectado a Internet para uso doméstico. Una vez conectado a Internet en la casa del cliente, el fabricante desea que el dispositivo envíe y reciba datos desde y hacia los servidores de la empresa, de modo que los clientes puedan acceder a las condiciones de temperatura y la configuración del termostato en su casa a través de su cuenta de usuario en el sitio web de la empresa y / o una aplicación de teléfono inteligente. En este caso, el fabricante podría:
- Envíe cada dispositivo con un par de claves criptográficas y un certificado de cliente únicos. Debido a que toda la comunicación será entre el termostato y los servidores de la empresa, estos certificados pueden ser de confianza privada, ofreciendo flexibilidad adicional para políticas como la vida útil de los certificados.
- Proporcione un código de dispositivo único (como un número de serie o un código QR) que el cliente puede escanear o ingresar en su cuenta de usuario en el portal web del fabricante o en la aplicación para teléfono inteligente para asociar el dispositivo con su cuenta.
Una vez que el dispositivo esté conectado a Internet a través de la red Wi-Fi del usuario, se abrirá una TLS conexión con el servidor del fabricante. El servidor se autenticará ante el termostato y solicitará el certificado de cliente del termostato, que está asociado con el código único ingresado por el usuario en su cuenta.
Las dos partes de la conexión (servidor y termostato) ahora están mutuamente autenticadas y pueden enviar mensajes de ida y vuelta con SSL /TLS cifrado sobre protocolos de capa de aplicación como HTTPS y MQTT. El usuario puede acceder a los datos del termostato o realizar cambios en su configuración con su cuenta de portal web o aplicación de teléfono inteligente. Nunca hay necesidad de mensajes no autenticados o de texto claro entre los dos dispositivos.
Hablar con un experto sobre cómo SSL.com puede ayudarlo a proteger sus dispositivos de IoT y mejorar la seguridad del usuario con mutuo TLS, Por favor, rellene y envíe el siguiente formulario: