Yksisuuntainen ja keskinäinen SSL /TLS Authentication
Yksi SSL: n /TLS protokolla on sen tehtävä autentikoida muuten nimettömiä osapuolia tietokoneverkoissa (kuten Internet). Kun vierailet verkkosivustolla, johon luotetaan julkisesti SSL /TLS todistus, selaimesi voi varmistaa, että verkkosivuston omistaja on onnistuneesti osoittanut hallinnan kyseiselle verkkotunnukselle luotetulle kolmannen osapuolen varmenteelle (CA), kuten SSL.com. Jos vahvistus epäonnistuu, verkkoselain varoittaa, ettet luota kyseiseen sivustoon.
Useimmissa sovelluksissa SSL /TLS käyttää tällaista yksisuuntainen todennus palvelimen asiakkaalle; tuntematon asiakas (verkkoselain) neuvottelee salatun istunnon verkkopalvelimen kanssa, joka esittää julkisesti luotettavan SSL /TLS - todistus tunnistaa itsensä SSL /TLS kädenpuristus:
CertificateRequest viesti asiakkaalle. Asiakas vastaa lähettämällä varmenteen palvelimelle todennusta varten:
Client Authentication (1.3.6.1.5.5.7.3.2) Laajennettu avainkäyttö (EKU) on asennettu asiakaslaitteeseen. Kaikki SSL.com: t Sähköposti-, asiakas- ja asiakirja-allekirjoitusvarmenteet sisältää asiakkaan todennuksen.
Keskinäisen todennuksen käyttötapaukset
Keskinäinen TLS todennusta voidaan käyttää sekä käyttäjien todentamiseen että laitteiden keskinäiseen todentamiseen tietokoneverkossa.
Käyttäjän todennus
Yritykset ja muut organisaatiot voivat jakaa digitaalisia asiakassertifikaatteja loppukäyttäjille, kuten työntekijöille, urakoitsijoille ja asiakkaille. Näitä asiakasvarmenteita voidaan käyttää todennustekijänä pääsyyn yrityksen resursseihin, kuten Wi-Fi, VPN ja verkkosovellukset. Keskinäinen, kun sitä käytetään perinteisten käyttäjänimi / salasana-tunnistetietojen sijaan (tai niiden lisäksi) TLS tarjoaa useita turvallisuusetuja:
- Keskinäinen TLS todennus ei ole alttiina tunnistetietovarkauksille, kuten Phishing. Verizonin 2020: n tietojen rikkomusten tutkimusraportti osoittaa, että lähes neljännes (22%) tietorikkomuksista johtuu verkkourkinnasta. Tietojenkalastelukampanjat ovat tarkoitettu helposti kerättäville tunnistetiedoille, kuten verkkosivustojen kirjautumissalasanoille, eivätkä käyttäjien asiakasvarmenteiden yksityisille avaimille. Lisäsuojana tietojenkalastelua vastaan kaikki SSL.com: t Sähköposti, asiakas ja asiakirjojen allekirjoittaminen varmenteet sisältävät julkisesti luotettavia S/MIME allekirjoitettua ja salattua sähköpostia varten.
- Keskinäinen TLS todentamista ei voi vaarantaa huono salasanahygienia tai salasanojen raa'at hyökkäykset. Voit vaatia, että käyttäjät luovat vahvoja salasanoja, mutta mistä tiedät, etteivät he käytä samaa "suojattua" salasanaa 50 eri verkkosivustolla tai kirjoittavatko ne muistilappuun? A 2019 Google-kysely osoittaa, että 52% käyttäjistä käyttää salasanoja uudelleen useilla tileillä ja 13% käyttäjistä käyttää samaa salasanaa uudelleen kaikki heidän tilinsä.
- Asiakassertifikaatit tarjoavat selkeän luottamusketju, ja sitä voidaan hallita keskitetysti. Keskinäisen kanssa TLS, sen varmenteen myöntäjän (CA) todentaminen, joka myönsi käyttäjän tunnistetiedot, syötetään suoraan todennusprosessiin. SSL.com: t online-hallintatyökalut, SWS-sovellusliittymäja pääsy vakioprotokolliin, kuten SCEP, tekevät näiden tunnistetietojen myöntämisestä, uusimisesta ja peruuttamisesta helppoa!
SSL.com tarjoaa useita vaihtoehtoja asiakassertifikaattien myöntämiseen ja hallintaan:
- Yksilöt tai organisaatiot, jotka tarvitsevat vain yhden tai muutaman varmenteen, voivat tilata Sähköposti-, asiakas- ja asiakirja-allekirjoitusvarmenteet á la carte SSL.com-sivustolta.
- Protokollia, kuten SCEP, EST ja CMP, voidaan käyttää automatisoimaan asiakkaan varmenteiden rekisteröinti ja uusiminen yrityksen omistamille ja BYO-laitteille.
- Asiakkaille, jotka tarvitsevat suuren määrän sertifikaatteja, tukku-alennukset ovat saatavilla meidän kautta Jälleenmyyjä ja volyymiosto-ohjelma.
IoT-laitteiden todennus
Keskinäinen TLS todennusta käytetään myös laajalti koneiden väliseen todennukseen. Tästä syystä sillä on monia sovelluksia esineiden internet (IoT) -laitteille. IoT: n maailmassa on monia tapauksia, joissa "älykäs" laite saattaa joutua todentamaan itsensä epävarmassa verkossa (kuten Internetissä) päästäkseen palvelimen suojattuihin resursseihin.
Esimerkki: Älykäs termostaatti
Yksinkertaistettuna esimerkkinä keskinäisestä TLS IoT: n osalta harkitsemme valmistajaa, joka suunnittelee Internetiin liitetyn älykkään termostaatin kotikäyttöön. Kun yhteys Internetiin on muodostettu asiakkaan kotona, valmistaja haluaa laitteen lähettävän ja vastaanottavan tietoja yrityksen palvelimille ja palvelimilta, jotta asiakkaat voivat käyttää kotonaan lämpötilaolosuhteita ja termostaatin asetuksia käyttäjän verkkosivuston käyttäjätilin kautta ja / tai älypuhelinsovelluksen. Tässä tapauksessa valmistaja voisi:
- Toimita kukin laite yksilöllisellä kryptografisella avainparilla ja asiakassertifikaatilla. Koska kaikki tiedonsiirto tapahtuu termostaatin ja yrityksen palvelimien välillä, nämä varmenteet saattavat olla luotettu yksityisesti, joka tarjoaa lisää joustavuutta käytäntöihin, kuten varmenteen elinikään.
- Anna yksilöllinen laitekoodi (kuten sarjanumero tai QR-koodi), jonka asiakas voi skannata tai syöttää käyttäjätililleen valmistajan verkkosivustolla tai älypuhelinsovelluksessa yhdistääksesi laitteen tiliinsä.
Kun laite on yhdistetty Internetiin käyttäjän Wi-Fi-verkon kautta, se avaa keskinäisen yhteyden TLS yhteys valmistajan palvelimeen. Palvelin todentaa itsensä termostaatille ja pyytää termostaatin asiakassertifikaattia, joka liittyy käyttäjän tiliin syöttämään yksilölliseen koodiin.
Yhteyden kaksi osapuolta (palvelin ja termostaatti) on nyt todennettu keskenään ja voivat lähettää viestejä edestakaisin SSL /TLS salaus sovelluskerroksen protokollien, kuten HTTPS ja MQTT. Käyttäjä voi käyttää tietoja termostaatista tai muuttaa sen asetuksia verkkoportaalitilillä tai älypuhelinsovelluksella. Kahden laitteen välillä ei koskaan tarvita todentamattomia tai selkeät tekstiviestit.
Keskustele asiantuntijan kanssa siitä, kuinka SSL.com voi auttaa sinua suojaamaan IoT-laitteitasi ja parantamaan käyttäjien turvallisuutta molemminpuolisesti TLS, täytä ja lähetä alla oleva lomake: