Egyirányú és kölcsönös SSL /TLS Hitelesítés
Az SSL egyik meghatározó jellemzője /TLS A protokoll szerepe az egyébként névtelen felek hitelesítésében a számítógépes hálózatokon (például az interneten). Amikor nyilvánosan megbízható webhelyet látogat meg SSL /TLS igazolás, a böngészője ellenőrizheti, hogy a webhely tulajdonosa sikeresen bizonyította-e a domainnév ellenőrzését egy megbízható, harmadik féltől származó tanúsító hatóságnak (CA), például az SSL.com-nak. Ha ez az ellenőrzés sikertelen, akkor a webböngésző figyelmeztet, hogy ne bízzon az adott webhelyben.
A legtöbb alkalmazás esetében az SSL /TLS ilyeneket használ egyirányú hitelesítés szerverről egy ügyfélnek; egy névtelen kliens (a webböngésző) egy titkosított munkamenetet tárgyal egy webszerverrel, amely nyilvánosan megbízható SSL-t /TLS tanúsítvány, hogy a SSL /TLS kézfogás:
Kölcsönös hitelesítés, amelyben mindkét szerver és a kliens az SSL-ben /TLS munkameneteket hitelesítették, ez is lehetséges, és bizonyos körülmények között nagyon hasznos lehet. Kölcsönös hitelesítéskor, miután a kiszolgálót hitelesítették a kézfogás során, a CertificateRequest
üzenetet az ügyfélnek. Az ügyfél úgy válaszol, hogy igazolást küld a kiszolgálónak hitelesítés céljából:
Kliens hitelesítés kölcsönös úton TLS megköveteli, hogy a tanúsítvány tartalmazza a Client Authentication (1.3.6.1.5.5.7.3.2)
Kiterjesztett kulcshasználat (EKU) van telepítve az ügyféleszközre. Az összes SSL.com E-mail, kliens és dokumentum aláíró tanúsítványok tartalmazza az ügyfél hitelesítését.
Kölcsönös hitelesítés használati esetek
Kölcsönös TLS a hitelesítés felhasználható mind a végfelhasználók hitelesítésére, mind az eszközök számítógépes hálózaton történő kölcsönös hitelesítésére.
Felhasználó hitelesítés
Üzleti és más szervezetek digitális kliens tanúsítványokat terjeszthetnek a végfelhasználók, például alkalmazottak, vállalkozók és ügyfelek számára. Ezek az ügyféltanúsítványok hitelesítési tényezőként használhatók a vállalati erőforrásokhoz, például a Wi-Fi-hez, a VPN-ekhez és a webes alkalmazásokhoz való hozzáféréshez. Ha a hagyományos felhasználónév / jelszó hitelesítő adatok helyett (vagy azok mellett) használják, kölcsönös TLS számos biztonsági előnyt kínál:
- Kölcsönös TLS a hitelesítés nem sérülékeny a taktika útján történő hitelesítési adatok ellopása ellen Adathalászat. Verizon 2020. évi jelentés az adat megsértésének kivizsgálásáról azt jelzi, hogy az adatsértések csaknem egynegyede (22%) adathalászatnak köszönhető. Az adathalász kampányok olyan könnyen gyűjthető hitelesítő adatokat tartalmaznak, mint a webhely bejelentkezési jelszavai, és nem a felhasználók ügyféltanúsítványainak magánkulcsait. Az adathalászat elleni további védekezésként az összes SSL.com-t E-mail, kliens és dokumentum aláírás a tanúsítványok nyilvánosan megbízhatóak S/MIME aláírt és titkosított e-mailekhez.
- Kölcsönös TLS a hitelesítést nem veszélyeztetheti rossz jelszó-higiénia vagy a jelszavak elleni erőszakos támadások. Megkövetelheti a felhasználóktól, hogy erős jelszavakat hozzanak létre, de honnan tudhatja, hogy nem ugyanazt a „biztonságos” jelszót használják 50 különböző webhelyen, vagy egy cetlire írják? A 2019-es Google-felmérés azt jelzi, hogy a felhasználók 52% -a újrafelhasznál jelszavakat több fiókhoz, és a felhasználók 13% -a ugyanazt a jelszót használja fel újra minden számláikból.
- Az ügyféltanúsítványok egyértelműek bizalmi lánc, és központilag kezelhető. A kölcsönös TLS, annak igazolása, hogy melyik tanúsító hatóság (CA) adta ki a felhasználó hitelesítő adatait, közvetlenül belemerül a hitelesítési folyamatba. SSL.com-k online menedzsment eszközök, SWS API, és az olyan szabványos protokollokhoz való hozzáférés, mint az SCEP, a hitelesítő adatok kiadását, megújítását és visszavonását egyszerűvé teszi!
Az SSL.com többféle lehetőséget kínál az ügyféltanúsítványok kibocsátására és kezelésére:
- Magánszemélyek vagy szervezetek, amelyek csak egy vagy néhány tanúsítványt igényelnek, megrendelhetnek E-mail, kliens és dokumentum aláíró tanúsítványok á la carte az SSL.com-tól.
- Az SCEP, az EST és a CMP protokollok felhasználhatók a kliens tanúsítványok regisztrálásának és megújításának automatizálására a vállalat tulajdonában lévő és BYO eszközök számára.
- Nagy mennyiségű tanúsítványt igénylő vásárlók számára nagykereskedelmi kedvezmények érhetők el a mi weboldalunkon keresztül Viszonteladói és mennyiségi beszerzési program.
IoT-eszközök hitelesítése
Kölcsönös TLS a hitelesítést széles körben használják a gépek közötti hitelesítéshez is. Emiatt számos alkalmazást tartalmaz a tárgyak internete (IoT) eszközökhöz. Az IoT világában sok esetben előfordulhat, hogy egy „intelligens” eszköznek bizonytalan hálózaton (például az interneten) keresztül kell hitelesítenie magát ahhoz, hogy hozzáférhessen a szerver védett erőforrásaihoz.
Példa: „Intelligens” termosztát
A kölcsönösség egyszerűsített példájaként TLS az IoT esetében figyelembe veszünk egy olyan gyártót, aki internethez csatlakoztatott „intelligens” termosztátot tervez otthoni használatra. Miután csatlakozott az internethez az ügyfél otthonában, a gyártó szeretné, ha az eszköz adatokat küldene és fogadna a vállalat szervereire és azokról, hogy az ügyfelek hozzáférhessenek otthoni hőmérsékleti viszonyokhoz és termosztát-beállításokhoz a vállalat honlapján lévő felhasználói fiókjukon keresztül / vagy egy okostelefonos alkalmazást. Ebben az esetben a gyártó:
- Minden eszközt egyedi kriptográfiai kulcspárral és kliens tanúsítvánnyal szállítson. Mivel minden kommunikáció a termosztát és a vállalat szerverei között zajlik, ezek a tanúsítványok lehetnek magántulajdonban megbízható, amely további rugalmasságot kínál a házirendekhez, például a tanúsítvány élettartamához.
- Adjon meg egyedi eszközkódot (például sorozatszámot vagy QR-kódot), amelyet az ügyfél beolvashat vagy beírhat felhasználói fiókjába a gyártó webportálján vagy okostelefonos alkalmazásában, hogy társítsa az eszközt a fiókjához.
Miután a készülék csatlakozik az internethez a felhasználó Wi-Fi hálózatán keresztül, megnyílik egy kölcsönös TLS kapcsolat a gyártó szerverével. A szerver hitelesíti magát a termosztátnál, és kéri a termosztát kliens tanúsítványát, amely társul a felhasználó által a fiókjukba beírt egyedi kóddal.
A kapcsolat két fele (szerver és termosztát) immár kölcsönösen hitelesítve van, és továbbíthatnak üzeneteket oda-vissza SSL /TLS titkosítás olyan alkalmazásréteg-protokollok felett, mint HTTPS és az MQTT. A felhasználó hozzáférhet a termosztát adataihoz, vagy módosíthatja annak beállításait webportál-fiókjával vagy okostelefonos alkalmazásával. Soha nincs szükség hitelesítés nélküli vagy tiszta szöveges üzenetekre a két eszköz között.
Szakértővel beszélni arról, hogy az SSL.com kölcsönösen miként segítheti az IoT-eszközök biztonságát és a felhasználói biztonság javítását TLS, kérjük töltse ki és küldje el az alábbi űrlapot: