Käyttäjien ja IoT-laitteiden todentaminen keskinäisellä TLS

Yksisuuntainen ja keskinäinen SSL /TLS Authentication

Yksi SSL: n /TLS protokolla on sen tehtävä autentikoida muuten nimettömiä osapuolia tietokoneverkoissa (kuten Internet). Kun vierailet verkkosivustolla, johon luotetaan julkisesti SSL /TLS todistus, selaimesi voi varmistaa, että verkkosivuston omistaja on onnistuneesti osoittanut hallinnan kyseiselle verkkotunnukselle luotetulle kolmannen osapuolen varmenteelle (CA), kuten SSL.com. Jos vahvistus epäonnistuu, verkkoselain varoittaa, ettet luota kyseiseen sivustoon.

Useimmissa sovelluksissa SSL /TLS käyttää tällaista yksisuuntainen todennus palvelimen asiakkaalle; tuntematon asiakas (verkkoselain) neuvottelee salatun istunnon verkkopalvelimen kanssa, joka esittää julkisesti luotettavan SSL /TLS - todistus tunnistaa itsensä SSL /TLS kädenpuristus:

yksisuuntainen todennusKeskinäinen todennus, jossa molemmat palvelimet ja asiakas SSL: ssä /TLS istunnot ovat todennettuja, on myös mahdollista ja voi olla erittäin hyödyllinen joissakin olosuhteissa. Keskinäisessä todennuksessa, kun palvelin on todennettu kättelyn aikana, se lähettää CertificateRequest viesti asiakkaalle. Asiakas vastaa lähettämällä varmenteen palvelimelle todennusta varten:

keskinäinen todennusAsiakkaan todennus keskinäisen yhteyden kautta TLS edellyttää, että todistus, joka sisältää Client Authentication (1.3.6.1.5.5.7.3.2) Laajennettu avainkäyttö (EKU) on asennettu asiakaslaitteeseen. Kaikki SSL.com: t Sähköposti-, asiakas- ja asiakirja-allekirjoitusvarmenteet sisältää asiakkaan todennuksen.

Keskinäisen todennuksen käyttötapaukset

Keskinäinen TLS todennusta voidaan käyttää sekä käyttäjien todentamiseen että laitteiden keskinäiseen todentamiseen tietokoneverkossa.

Käyttäjän todennus

Yritykset ja muut organisaatiot voivat jakaa digitaalisia asiakassertifikaatteja loppukäyttäjille, kuten työntekijöille, urakoitsijoille ja asiakkaille. Näitä asiakasvarmenteita voidaan käyttää todennustekijänä pääsyyn yrityksen resursseihin, kuten Wi-Fi, VPN ja verkkosovellukset. Keskinäinen, kun sitä käytetään perinteisten käyttäjänimi / salasana-tunnistetietojen sijaan (tai niiden lisäksi) TLS tarjoaa useita turvallisuusetuja:

  • Keskinäinen TLS todennus ei ole alttiina tunnistetietovarkauksille, kuten Phishing. Verizonin 2020: n tietojen rikkomusten tutkimusraportti osoittaa, että lähes neljännes (22%) tietorikkomuksista johtuu verkkourkinnasta. Tietojenkalastelukampanjat ovat tarkoitettu helposti kerättäville tunnistetiedoille, kuten verkkosivustojen kirjautumissalasanoille, eivätkä käyttäjien asiakasvarmenteiden yksityisille avaimille. Lisäsuojana tietojenkalastelua vastaan ​​kaikki SSL.com: t Sähköposti, asiakas ja asiakirjojen allekirjoittaminen varmenteet sisältävät julkisesti luotettavia S/MIME allekirjoitettua ja salattua sähköpostia varten.
  • Keskinäinen TLS todentamista ei voi vaarantaa huono salasanahygienia tai salasanojen raa'at hyökkäykset. Voit vaatia, että käyttäjät luovat vahvoja salasanoja, mutta mistä tiedät, etteivät he käytä samaa "suojattua" salasanaa 50 eri verkkosivustolla tai kirjoittavatko ne muistilappuun? A 2019 Google-kysely osoittaa, että 52% käyttäjistä käyttää salasanoja uudelleen useilla tileillä ja 13% käyttäjistä käyttää samaa salasanaa uudelleen kaikki heidän tilinsä.
  • Asiakassertifikaatit tarjoavat selkeän luottamusketju, ja sitä voidaan hallita keskitetysti. Keskinäisen kanssa TLS, sen varmenteen myöntäjän (CA) todentaminen, joka myönsi käyttäjän tunnistetiedot, syötetään suoraan todennusprosessiin. SSL.com: t online-hallintatyökalut, SWS-sovellusliittymäja pääsy vakioprotokolliin, kuten SCEP, tekevät näiden tunnistetietojen myöntämisestä, uusimisesta ja peruuttamisesta helppoa!

SSL.com tarjoaa useita vaihtoehtoja asiakassertifikaattien myöntämiseen ja hallintaan:

  • Yksilöt tai organisaatiot, jotka tarvitsevat vain yhden tai muutaman varmenteen, voivat tilata Sähköposti-, asiakas- ja asiakirja-allekirjoitusvarmenteet á la carte SSL.com-sivustolta.
  • Protokollia, kuten SCEP, EST ja CMP, voidaan käyttää automatisoimaan asiakkaan varmenteiden rekisteröinti ja uusiminen yrityksen omistamille ja BYO-laitteille.
  • Asiakkaille, jotka tarvitsevat suuren määrän sertifikaatteja, tukku-alennukset ovat saatavilla meidän kautta Jälleenmyyjä ja volyymiosto-ohjelma.

 

IoT-laitteiden todennus

Keskinäinen TLS todennusta käytetään myös laajalti koneiden väliseen todennukseen. Tästä syystä sillä on monia sovelluksia esineiden internet (IoT) -laitteille. IoT: n maailmassa on monia tapauksia, joissa "älykäs" laite saattaa joutua todentamaan itsensä epävarmassa verkossa (kuten Internetissä) päästäkseen palvelimen suojattuihin resursseihin.

Esimerkki: Älykäs termostaatti

Yksinkertaistettuna esimerkkinä keskinäisestä TLS IoT: n osalta harkitsemme valmistajaa, joka suunnittelee Internetiin liitetyn älykkään termostaatin kotikäyttöön. Kun yhteys Internetiin on muodostettu asiakkaan kotona, valmistaja haluaa laitteen lähettävän ja vastaanottavan tietoja yrityksen palvelimille ja palvelimilta, jotta asiakkaat voivat käyttää kotonaan lämpötilaolosuhteita ja termostaatin asetuksia käyttäjän verkkosivuston käyttäjätilin kautta ja / tai älypuhelinsovelluksen. Tässä tapauksessa valmistaja voisi:

  • Toimita kukin laite yksilöllisellä kryptografisella avainparilla ja asiakassertifikaatilla. Koska kaikki tiedonsiirto tapahtuu termostaatin ja yrityksen palvelimien välillä, nämä varmenteet saattavat olla luotettu yksityisesti, joka tarjoaa lisää joustavuutta käytäntöihin, kuten varmenteen elinikään.
  • Anna yksilöllinen laitekoodi (kuten sarjanumero tai QR-koodi), jonka asiakas voi skannata tai syöttää käyttäjätililleen valmistajan verkkosivustolla tai älypuhelinsovelluksessa yhdistääksesi laitteen tiliinsä.

Kun laite on yhdistetty Internetiin käyttäjän Wi-Fi-verkon kautta, se avaa keskinäisen yhteyden TLS yhteys valmistajan palvelimeen. Palvelin todentaa itsensä termostaatille ja pyytää termostaatin asiakassertifikaattia, joka liittyy käyttäjän tiliin syöttämään yksilölliseen koodiin.

Yhteyden kaksi osapuolta (palvelin ja termostaatti) on nyt todennettu keskenään ja voivat lähettää viestejä edestakaisin SSL /TLS salaus sovelluskerroksen protokollien, kuten HTTPS ja MQTT. Käyttäjä voi käyttää tietoja termostaatista tai muuttaa sen asetuksia verkkoportaalitilillä tai älypuhelinsovelluksella. Kahden laitteen välillä ei koskaan tarvita todentamattomia tai selkeät tekstiviestit.

Keskustele asiantuntijan kanssa siitä, kuinka SSL.com voi auttaa sinua suojaamaan IoT-laitteitasi ja parantamaan käyttäjien turvallisuutta molemminpuolisesti TLS, täytä ja lähetä alla oleva lomake:

Ota yhteyttä SSL.com-asiantuntijaan keskinäisestä toiminnasta TLS ja esineiden internet

Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain sivun oikeassa alakulmassa olevaa chat-linkkiä. Voit myös löytää vastauksia moniin yleisiin tukikysymyksiin sivustollemme tietopohja.

Tilaa SSL.com -uutiskirje

Älä missaa uusia artikkeleita ja päivityksiä SSL.com-sivustolta

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.