Autenticazione di utenti e dispositivi IoT con Mutual TLS

SSL unidirezionale e reciproco /TLS Autenticazione

Una delle caratteristiche distintive di SSL /TLS protocollo è il suo ruolo nell'autenticazione di soggetti altrimenti anonimi su reti di computer (come Internet). Quando visiti un sito Web con un dominio pubblico SSL /TLS a livello internazionale, il tuo browser può verificare che il proprietario del sito web abbia dimostrato con successo il controllo su quel nome di dominio a un'autorità di certificazione (CA) di terze parti attendibile, come SSL.com. Se questa verifica non riesce, il browser web ti avviserà di non fidarti di quel sito.

Per la maggior parte delle applicazioni, SSL /TLS usa questo tipo di file autenticazione unidirezionale di un server a un client; un client anonimo (il browser web) negozia una sessione crittografata con un server web, che presenta un SSL /TLS certificato per identificarsi durante il SSL /TLS stretta di mano:

autenticazione unidirezionaleAutenticazione reciproca, in cui sia server ed client in SSL /TLS sono autenticate, è anche possibile e può essere molto utile in alcune circostanze. Nella mutua autenticazione, una volta che il server è stato autenticato durante l'handshake, invierà un file CertificateRequest messaggio al cliente. Il client risponderà inviando un certificato al server per l'autenticazione:

autenticazione reciprocaAutenticazione del client tramite mutua TLS richiede che un certificato includa il Client Authentication (1.3.6.1.5.5.7.3.2) Extended Key Usage (EKU) è installato sul dispositivo client. Tutti SSL.com Certificati di firma di e-mail, client e documenti includere l'autenticazione del client.

Casi d'uso dell'autenticazione reciproca

Reciproco TLS l'autenticazione può essere utilizzata sia per autenticare gli utenti finali sia per l'autenticazione reciproca dei dispositivi su una rete di computer.

Autenticazione utente

Aziende e altre organizzazioni possono distribuire certificati client digitali a utenti finali come dipendenti, appaltatori e clienti. Questi certificati client possono essere utilizzati come fattore di autenticazione per l'accesso a risorse aziendali come Wi-Fi, VPN e applicazioni Web. Quando viene utilizzato al posto (o in aggiunta alle) tradizionali credenziali nome utente / password, mutual TLS offre diversi vantaggi in termini di sicurezza:

  • Reciproco TLS l'autenticazione non è vulnerabile al furto di credenziali tramite tattiche come phishing. Verizon 2020 Data Breach Investigations Report indica che quasi un quarto (22%) delle violazioni dei dati è dovuto al phishing. Le campagne di phishing sono disponibili per credenziali facilmente raccolte come le password di accesso al sito Web, non per le chiavi private dei certificati client degli utenti. Come ulteriore difesa contro il phishing, tutto SSL.com Firma di e-mail, client e documenti i certificati includono attendibili pubblicamente S/MIME per email firmate e crittografate.
  • Reciproco TLS l'autenticazione non può essere compromessa da una scarsa igiene delle password o da attacchi di forza bruta alle password. Puoi richiedere agli utenti di creare password complesse, ma come fai a sapere che non usano la stessa password "sicura" su 50 siti Web diversi o l'hanno scritta su una nota adesiva? UN Sondaggio Google del 2019 indica che il 52% degli utenti riutilizza le password per più account e il 13% riutilizza la stessa password per contro tutti i dei loro conti.
  • I certificati client offrono un chiaro catena di fiduciae può essere gestito centralmente. Con reciproco TLS, la verifica di quale autorità di certificazione (CA) ha emesso le credenziali di un utente viene inserita direttamente nel processo di autenticazione. SSL.com strumenti di gestione online, API SWSe l'accesso a protocolli standard come SCEP rendono il rilascio, il rinnovo e la revoca di queste credenziali un gioco da ragazzi!

SSL.com offre molteplici opzioni per l'emissione e la gestione dei certificati client:

  • Gli individui o le organizzazioni che richiedono solo uno o pochi certificati possono ordinare Certificati di firma di e-mail, client e documenti à la carte da SSL.com.
  • Protocolli come SCEP, EST e CMP possono essere utilizzati per automatizzare la registrazione e il rinnovo dei certificati client per i dispositivi di proprietà dell'azienda e BYO.
  • Per i clienti che richiedono una grande quantità di certificati, sono disponibili sconti all'ingrosso tramite il nostro Programma per rivenditori e acquisti a volume.

 

Autenticazione dei dispositivi IoT

Reciproco TLS l'autenticazione è ampiamente utilizzata anche per l'autenticazione da macchina a macchina. Per questo motivo, ha molte applicazioni per i dispositivi Internet of Things (IoT). Nel mondo dell'IoT, ci sono molti casi in cui un dispositivo "intelligente" potrebbe aver bisogno di autenticarsi su una rete non sicura (come Internet) per accedere a risorse protette su un server.

Esempio: un termostato "intelligente"

Come esempio semplificato di mutuo TLS per l'IoT, prenderemo in considerazione un produttore che sta progettando un termostato "intelligente" connesso a Internet per uso domestico. Una volta connesso a Internet a casa del cliente, il produttore desidera che il dispositivo invii e riceva dati da e verso i server dell'azienda, in modo che i clienti possano accedere alle condizioni di temperatura e alle impostazioni del termostato nella loro casa tramite il proprio account utente sul sito Web dell'azienda e / o un'app per smartphone. In questo caso, il produttore potrebbe:

  • Spedisci ogni dispositivo con una coppia di chiavi crittografiche e un certificato client univoci. Poiché tutta la comunicazione avverrà tra il termostato e i server dell'azienda, questi certificati potrebbero esserlo fiducia privata, offrendo ulteriore flessibilità per criteri come la durata dei certificati.
  • Fornisci un codice dispositivo univoco (come un numero di serie o un codice QR) che il cliente può scansionare o inserire nel proprio account utente sul portale web del produttore o nell'app per smartphone per associare il dispositivo al proprio account.

Una volta che il dispositivo è connesso a Internet tramite la rete Wi-Fi dell'utente, aprirà una mutua TLS connessione con il server del produttore. Il server si autenticherà sul termostato e richiederà il certificato client del termostato, che è associato al codice univoco inserito dall'utente nel proprio account.

Le due parti della connessione (server e termostato) sono ora autenticate reciprocamente e possono inviare messaggi avanti e indietro con SSL /TLS crittografia su protocolli a livello di applicazione come HTTPS e MQTT. L'utente può accedere ai dati dal termostato o apportare modifiche alle sue impostazioni con il proprio account del portale web o l'app per smartphone. Non c'è mai bisogno di messaggi di testo non autenticati o in chiaro tra i due dispositivi.

Per parlare con un esperto di come SSL.com può aiutarti a proteggere i tuoi dispositivi IoT e migliorare la sicurezza degli utenti con reciproco TLS, si prega di compilare e inviare il modulo sottostante:

Contatta uno specialista SSL.com su Mutuo TLS e l'IoT

Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREoppure fai clic sul link della chat in basso a destra in questa pagina. Puoi anche trovare risposte a molte domande comuni di supporto nel nostro base di conoscenza.

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.