Autenticar usuarios y dispositivos de IoT con Mutual TLS

SSL unidireccional y mutuo /TLS Autenticación

Una de las características definitorias de SSL /TLS El protocolo es su papel en la autenticación de partes que de otro modo serían anónimas en redes informáticas (como Internet). Cuando visita un sitio web con una confianza pública SSL /TLS certificado, su navegador puede verificar que el propietario del sitio web haya demostrado con éxito el control sobre ese nombre de dominio a una autoridad de certificación (CA) de terceros de confianza, como SSL.com. Si esta verificación falla, el navegador web le advertirá que no confíe en ese sitio.

Para la mayoría de las aplicaciones, SSL /TLS usa este tipo de autenticación unidireccional de un servidor a un cliente; un cliente anónimo (el navegador web) negocia una sesión cifrada con un servidor web, que presenta un SSL / de confianza públicaTLS certificado para identificarse durante el SSL /TLS apretón de manos:

autenticación unidireccionalAutenticacion mutua, en el que ambos servidores y cliente en el SSL /TLS se autentican, también es posible y puede ser muy útil en algunas circunstancias. En la autenticación mutua, una vez que el servidor se autentica durante el protocolo de enlace, enviará un CertificateRequest mensaje al cliente. El cliente responderá enviando un certificado al servidor para su autenticación:

autenticacion mutuaAutenticación del cliente vía mutua TLS requiere que un certificado que incluya el Client Authentication (1.3.6.1.5.5.7.3.2) El uso de clave extendido (EKU) está instalado en el dispositivo cliente. Todos los de SSL.com Certificados de firma de documentos, clientes y correo electrónico incluir autenticación de cliente.

Casos de uso de autenticación mutua

Mutuo TLS La autenticación se puede utilizar tanto para autenticar a los usuarios finales como para la autenticación mutua de dispositivos en una red informática.

Autenticacion de usuario

Las empresas y otras organizaciones pueden distribuir certificados de clientes digitales a usuarios finales como empleados, contratistas y clientes. Estos certificados de cliente se pueden utilizar como factor de autenticación para acceder a recursos corporativos como Wi-Fi, VPN y aplicaciones web. Cuando se usa en lugar de (o además de) las credenciales tradicionales de nombre de usuario / contraseña, TLS ofrece varias ventajas de seguridad:

  • Mutuo TLS La autenticación no es vulnerable al robo de credenciales a través de tácticas como suplantación de identidad. De Verizon Informe de investigaciones de violación de datos de 2020 indica que casi una cuarta parte (22%) de las filtraciones de datos se deben al phishing. Las campañas de phishing buscan credenciales fácilmente recolectadas, como contraseñas de inicio de sesión en sitios web, no las claves privadas de los certificados de cliente de los usuarios. Como defensa adicional contra el phishing, todos los Firma de correo electrónico, cliente y documentos los certificados incluyen de confianza pública S/MIME para correo electrónico firmado y cifrado.
  • Mutuo TLS la autenticación no puede verse comprometida por una higiene deficiente de las contraseñas o ataques de fuerza bruta a las contraseñas. Puede exigir que los usuarios creen contraseñas seguras, pero ¿cómo sabe que no utilizan la misma contraseña "segura" en 50 sitios web diferentes o la tienen escrita en una nota adhesiva? UNA Encuesta de Google 2019 indica que el 52% de los usuarios reutilizan contraseñas para varias cuentas y el 13% de los usuarios reutilizan la misma contraseña para todos de sus cuentas.
  • Los certificados de cliente ofrecen una clara cadena de confianzay se puede gestionar de forma centralizada. Con mutuo TLS, la verificación de qué autoridad de certificación (CA) emitió las credenciales de un usuario se incluye directamente en el proceso de autenticación. SSL.com's herramientas de gestión online, API SWSy el acceso a protocolos estándar como SCEP facilitan la emisión, renovación y revocación de estas credenciales.

SSL.com ofrece múltiples opciones para la emisión y gestión de certificados de clientes:

 

Autenticación de dispositivos IoT

Mutuo TLS La autenticación también se usa ampliamente para la autenticación de máquina a máquina. Por esta razón, tiene muchas aplicaciones para dispositivos de Internet de las cosas (IoT). En el mundo de IoT, hay muchos casos en los que un dispositivo "inteligente" puede necesitar autenticarse a sí mismo a través de una red insegura (como Internet) para acceder a recursos protegidos en un servidor.

Ejemplo: un termostato "inteligente"

Como ejemplo simplificado de mutuo TLS para IoT, consideraremos un fabricante que está diseñando un termostato “inteligente” conectado a Internet para uso doméstico. Una vez conectado a Internet en la casa del cliente, el fabricante desea que el dispositivo envíe y reciba datos desde y hacia los servidores de la empresa, de modo que los clientes puedan acceder a las condiciones de temperatura y la configuración del termostato en su casa a través de su cuenta de usuario en el sitio web de la empresa y / o una aplicación de teléfono inteligente. En este caso, el fabricante podría:

  • Envíe cada dispositivo con un par de claves criptográficas y un certificado de cliente únicos. Debido a que toda la comunicación será entre el termostato y los servidores de la empresa, estos certificados pueden ser de confianza privada, ofreciendo flexibilidad adicional para políticas como la vida útil de los certificados.
  • Proporcione un código de dispositivo único (como un número de serie o un código QR) que el cliente puede escanear o ingresar en su cuenta de usuario en el portal web del fabricante o en la aplicación para teléfono inteligente para asociar el dispositivo con su cuenta.

Una vez que el dispositivo esté conectado a Internet a través de la red Wi-Fi del usuario, se abrirá una TLS conexión con el servidor del fabricante. El servidor se autenticará ante el termostato y solicitará el certificado de cliente del termostato, que está asociado con el código único ingresado por el usuario en su cuenta.

Las dos partes de la conexión (servidor y termostato) ahora están mutuamente autenticadas y pueden enviar mensajes de ida y vuelta con SSL /TLS cifrado sobre protocolos de capa de aplicación como HTTPS y MQTT. El usuario puede acceder a los datos del termostato o realizar cambios en su configuración con su cuenta de portal web o aplicación de teléfono inteligente. Nunca hay necesidad de mensajes no autenticados o de texto claro entre los dos dispositivos.

Hablar con un experto sobre cómo SSL.com puede ayudarlo a proteger sus dispositivos de IoT y mejorar la seguridad del usuario con mutuo TLS, Por favor, rellene y envíe el siguiente formulario:

Comuníquese con un especialista de SSL.com acerca de Mutual TLS y el IoT

¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página. También puede encontrar respuestas a muchas preguntas de soporte comunes en nuestro base de conocimientos.

Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.