Authentification des utilisateurs et des appareils IoT avec Mutual TLS

SSL unidirectionnel et mutuel /TLS Authentification

L'une des caractéristiques déterminantes du SSL /TLS protocole est son rôle dans l'authentification de parties autrement anonymes sur les réseaux informatiques (comme Internet). Lorsque vous visitez un site Web avec un SSL /TLS certificat, votre navigateur peut vérifier que le propriétaire du site Web a réussi à démontrer son contrôle sur ce nom de domaine à une autorité de certification (CA) tierce de confiance, telle que SSL.com. Si cette vérification échoue, le navigateur Web vous avertira de ne pas faire confiance à ce site.

Pour la plupart des applications, SSL /TLS utilise ce genre de authentification unidirectionnelle d'un serveur à un client; un client anonyme (le navigateur Web) négocie une session cryptée avec un serveur Web, qui présente un SSL /TLS certificat pour s'identifier lors de la SSL /TLS poignée de main:

Authentification mutuelle, dans lequel les deux serveurs ainsi que client dans le SSL /TLS session sont authentifiés, est également possible et peut être très utile dans certaines circonstances. Dans l'authentification mutuelle, une fois que le serveur est authentifié lors de la prise de contact, il enverra un CertificateRequest message au client. Le client répondra en envoyant un certificat au serveur pour authentification:

Authentification du client via mutuelle TLS exige qu'un certificat comprenant le Client Authentication (1.3.6.1.5.5.7.3.2) Extended Key Usage (EKU) est installé sur la machine cliente. Tous les SSL.com Certificats de signature de courrier électronique, de client et de document inclure l'authentification client.

Cas d'utilisation de l'authentification mutuelle

Mutuel TLS L'authentification peut être utilisée à la fois pour authentifier les utilisateurs finaux et pour l'authentification mutuelle des appareils sur un réseau informatique.

Authentification d'utilisateur

Les entreprises et autres organisations peuvent distribuer des certificats clients numériques aux utilisateurs finaux tels que les employés, les sous-traitants et les clients. Ces certificats clients peuvent être utilisés comme facteur d'authentification pour l'accès aux ressources d'entreprise telles que le Wi-Fi, les VPN et les applications Web. Lorsqu'il est utilisé à la place (ou en plus) des informations d'identification traditionnelles de nom d'utilisateur / mot de passe, TLS offre plusieurs avantages de sécurité:

• Mutuel TLS l'authentification n'est pas vulnérable au vol d'informations d'identification via des tactiques telles que phishing. Verizon Rapport d'enquêtes sur la violation de données 2020 indique que près d'un quart (22%) des violations de données sont dues au phishing. Les campagnes de phishing sont destinées à obtenir des informations d'identification faciles à collecter, telles que les mots de passe de connexion au site Web, et non les clés privées des certificats clients des utilisateurs. Comme défense supplémentaire contre le phishing, tous les sites SSL.com Signature d'e-mails, de clients et de documents les certificats incluent la confiance publique S/MIME pour les e-mails signés et chiffrés.
• Mutuel TLS l'authentification ne peut pas être compromise par une mauvaise hygiène des mots de passe ou des attaques par force brute sur les mots de passe. Vous pouvez exiger que les utilisateurs créent des mots de passe forts, mais comment savoir qu'ils n'utilisent pas le même mot de passe «sécurisé» sur 50 sites Web différents, ou comment le faire écrire sur une note autocollante? UNE Sondage Google 2019 indique que 52% des utilisateurs réutilisent les mots de passe pour plusieurs comptes et que 13% des utilisateurs réutilisent le même mot de passe pour TOUTE de leurs comptes.
  
• Les certificats clients offrent une chaîne de confiance, et peut être géré de manière centralisée. Avec mutuelle TLS, la vérification de l'autorité de certification (CA) qui a émis les informations d'identification d'un utilisateur est intégrée directement dans le processus d'authentification. SSL.com outils de gestion en ligne, API SWSet l'accès aux protocoles standard tels que SCEP facilitent l'émission, le renouvellement et la révocation de ces informations d'identification!

SSL.com offre plusieurs options pour l'émission et la gestion des certificats clients:

• Les particuliers ou les organisations ne nécessitant qu'un ou plusieurs certificats peuvent commander Certificats de signature de courrier électronique, de client et de document à la carte de SSL.com.
• Des protocoles tels que SCEP, EST et CMP peuvent être utilisés pour automatiser l'inscription et le renouvellement des certificats clients pour les appareils appartenant à l'entreprise et BYO.
• Pour les clients nécessitant une grande quantité de certificats, des rabais de gros sont disponibles via notre Programme de revendeurs et d'achats en volume.

Authentification des appareils IoT

Mutuel TLS L'authentification est également largement utilisée pour l'authentification de machine à machine. Pour cette raison, il a de nombreuses applications pour les appareils Internet des objets (IoT). Dans le monde de l'IoT, il existe de nombreux cas dans lesquels un appareil «intelligent» peut avoir besoin de s'authentifier sur un réseau non sécurisé (tel qu'Internet) afin d'accéder à des ressources protégées sur un serveur.

Exemple: un thermostat «intelligent»

Comme exemple simplifié de mutuelle TLS pour l'IoT, nous envisagerons un fabricant qui conçoit un thermostat «intelligent» connecté à Internet pour un usage domestique. Une fois connecté à Internet au domicile du client, le fabricant souhaite que l'appareil envoie et reçoive des données depuis et vers les serveurs de l'entreprise, afin que les clients puissent accéder aux conditions de température et aux paramètres du thermostat chez eux via leur compte utilisateur sur le site Web de l'entreprise et / ou une application pour smartphone. Dans ce cas, le fabricant pourrait:

• Expédiez chaque appareil avec une paire de clés cryptographiques et un certificat client uniques. Étant donné que toutes les communications se feront entre le thermostat et les serveurs de l'entreprise, ces certificats peuvent être de confiance privée, offrant une flexibilité supplémentaire pour les politiques telles que la durée de vie des certificats.
• Fournir un code d'appareil unique (tel qu'un numéro de série ou un code QR) que le client peut scanner ou saisir dans son compte utilisateur sur le portail Web du fabricant ou sur l'application pour smartphone pour associer l'appareil à son compte.

Une fois l'appareil connecté à Internet via le réseau Wi-Fi de l'utilisateur, il ouvrira une mutuelle TLS connexion avec le serveur du fabricant. Le serveur s'authentifie auprès du thermostat et demande le certificat client du thermostat, qui est associé au code unique saisi par l'utilisateur dans son compte.

Les deux parties à la connexion (serveur et thermostat) sont désormais mutuellement authentifiées et peuvent envoyer des messages dans les deux sens avec SSL /TLS cryptage sur des protocoles de couche application comme HTTPS et MQTT. L'utilisateur peut accéder aux données du thermostat ou modifier ses paramètres avec son compte de portail Web ou son application pour smartphone. Il n'y a jamais besoin de messages non authentifiés ou en texte clair entre les deux appareils.

Pour parler avec un expert de la façon dont SSL.com peut vous aider à sécuriser vos appareils IoT et à améliorer la sécurité des utilisateurs avec mutual TLS, Veuillez remplir et soumettre le formulaire ci-dessous:

Contactez un spécialiste SSL.com à propos de Mutual TLS et l'IoT