SSL Satu Arah dan Bersama /TLS Otentikasi
Salah satu fitur penentu SSL /TLS protokol adalah perannya dalam mengautentikasi pihak-pihak yang tidak dikenal di jaringan komputer (seperti internet). Ketika Anda mengunjungi situs web dengan kepercayaan publik SSL /TLS sertifikat, browser Anda dapat memverifikasi bahwa pemilik situs web telah berhasil menunjukkan kontrol atas nama domain tersebut kepada otoritas sertifikat (CA) pihak ketiga tepercaya, seperti SSL.com. Jika verifikasi ini gagal, browser web akan memperingatkan Anda untuk tidak mempercayai situs itu.
Untuk sebagian besar aplikasi, SSL /TLS menggunakan jenis ini otentikasi satu arah dari server ke klien; klien anonim (browser web) menegosiasikan sesi terenkripsi dengan server web, yang menyajikan SSL /TLS sertifikat untuk mengidentifikasi dirinya sendiri selama SSL /TLS jabatan:
CertificateRequest pesan ke klien. Klien akan merespon dengan mengirimkan sertifikat ke server untuk otentikasi:
Client Authentication (1.3.6.1.5.5.7.3.2) Extended Key Usage (EKU) diinstal di perangkat klien. Semua SSL.com Sertifikat Email, Klien, dan Penandatanganan Dokumen termasuk otentikasi klien.
Kasus Penggunaan Otentikasi Bersama
Saling TLS otentikasi dapat digunakan untuk otentikasi pengguna akhir dan untuk otentikasi bersama perangkat di jaringan komputer.
Otentikasi Pengguna
Bisnis dan organisasi lain dapat mendistribusikan sertifikat klien digital kepada pengguna akhir seperti karyawan, kontraktor, dan pelanggan. Sertifikat klien ini dapat digunakan sebagai faktor otentikasi untuk akses ke sumber daya perusahaan seperti Wi-Fi, VPN, dan aplikasi web. Ketika digunakan sebagai pengganti (atau sebagai tambahan) nama pengguna / kata sandi tradisional, saling menguntungkan TLS menawarkan beberapa keuntungan keamanan:
- Saling TLS otentikasi tidak rentan terhadap pencurian kredensial melalui taktik seperti Phishing. Verizon Laporan Investigasi Pelanggaran Data 2020 menunjukkan bahwa hampir seperempat (22%) pelanggaran data disebabkan oleh phishing. Kampanye phishing keluar untuk kredensial yang mudah diambil seperti kata sandi masuk situs web, bukan kunci pribadi untuk sertifikat klien pengguna. Sebagai perlindungan lebih lanjut terhadap phishing, semua SSL.com Email, Klien, dan Penandatanganan Dokumen sertifikat termasuk dipercaya secara publik S/MIME untuk email yang ditandatangani dan dienkripsi.
- Saling TLS otentikasi tidak dapat dikompromikan oleh kebersihan kata sandi yang buruk atau serangan brute force pada kata sandi. Anda dapat meminta pengguna membuat sandi yang kuat, tetapi bagaimana Anda tahu bahwa mereka tidak menggunakan sandi "aman" yang sama di 50 situs web yang berbeda, atau menuliskannya di catatan tempel? SEBUAH Survei Google 2019 menunjukkan bahwa 52% pengguna menggunakan kembali sandi untuk beberapa akun, dan 13% pengguna menggunakan kembali sandi yang sama untuk semua dari akun mereka.
- Sertifikat klien menawarkan yang jelas rantai kepercayaan, dan dapat dikelola secara terpusat. Dengan saling menguntungkan TLS, verifikasi otoritas sertifikat (CA) mana yang mengeluarkan kredensial pengguna dimasukkan langsung ke dalam proses otentikasi. SSL.com alat manajemen online, API SWS, dan akses ke protokol standar seperti SCEP membuat penerbitan, pembaruan, dan pencabutan kredensial ini menjadi sangat mudah!
SSL.com menawarkan beberapa opsi untuk penerbitan dan pengelolaan sertifikat klien:
- Individu atau organisasi yang hanya membutuhkan satu atau beberapa sertifikat dapat memesan Sertifikat Email, Klien, dan Penandatanganan Dokumen รก la carte dari SSL.com.
- Protokol seperti SCEP, EST, dan CMP dapat digunakan untuk mengotomatiskan pendaftaran dan perpanjangan sertifikat klien untuk perangkat milik perusahaan dan BYO.
- Untuk pelanggan yang membutuhkan sertifikat dalam jumlah besar, diskon grosir tersedia melalui kami Program Pembelian Reseller dan Volume.
Otentikasi Perangkat IoT
Saling TLS otentikasi juga banyak digunakan untuk otentikasi mesin-ke-mesin. Karena alasan ini, ia memiliki banyak aplikasi untuk perangkat Internet of Things (IoT). Dalam dunia IoT, ada banyak kasus di mana perangkat "pintar" mungkin perlu mengautentikasi dirinya sendiri melalui jaringan yang tidak aman (seperti internet) untuk mengakses sumber daya yang dilindungi di server.
Contoh: Termostat "Cerdas"
Sebagai contoh sederhana dari saling menguntungkan TLS untuk IoT, kami akan mempertimbangkan produsen yang merancang termostat "pintar" yang terhubung ke internet untuk digunakan di rumah. Setelah terhubung ke internet di rumah pelanggan, pabrikan ingin perangkat mengirim dan menerima data ke dan dari server perusahaan, sehingga pelanggan dapat mengakses kondisi suhu dan pengaturan termostat di rumah mereka melalui akun pengguna mereka di situs web perusahaan dan / atau aplikasi smartphone. Dalam hal ini, pabrikan dapat:
- Mengirimkan setiap perangkat dengan pasangan kunci kriptografi unik dan sertifikat klien. Karena semua komunikasi akan dilakukan antara termostat dan server perusahaan, sertifikat ini mungkin saja dipercaya secara pribadi, menawarkan fleksibilitas tambahan untuk kebijakan seperti umur sertifikat.
- Berikan kode perangkat unik (seperti nomor seri atau kode QR) yang dapat dipindai atau dimasukkan oleh pelanggan ke akun pengguna mereka di portal web pabrikan atau aplikasi ponsel cerdas untuk mengaitkan perangkat dengan akun mereka.
Setelah perangkat terhubung ke internet melalui jaringan Wi-Fi pengguna, perangkat akan saling terbuka TLS koneksi dengan server pabrikan. Server akan mengautentikasi dirinya sendiri ke termostat dan meminta sertifikat klien termostat, yang dikaitkan dengan kode unik yang dimasukkan oleh pengguna ke akun mereka.
Kedua pihak ke koneksi (server dan termostat) sekarang saling diautentikasi dan dapat mengirim pesan bolak-balik dengan SSL /TLS enkripsi atas protokol lapisan aplikasi seperti HTTPS dan MQTT. Pengguna dapat mengakses data dari termostat atau mengubah pengaturannya dengan akun portal web atau aplikasi ponsel cerdas mereka. Tidak pernah ada kebutuhan untuk pesan teks yang tidak diautentikasi atau jelas antara kedua perangkat.
Untuk berbicara dengan seorang ahli tentang bagaimana SSL.com dapat membantu Anda mengamankan perangkat IoT Anda dan meningkatkan keamanan pengguna dengan saling menguntungkan TLS, silakan isi dan kirimkan formulir di bawah ini: