Enveis og gjensidig SSL /TLS Autentisering
En av de definerende funksjonene i SSL /TLS protokollen er dens rolle i å autentisere ellers anonyme partier på datanettverk (for eksempel internett). Når du besøker et nettsted med en offentlig klarert SSL /TLS sertifikatkan nettleseren din verifisere at eieren av nettstedet har vist kontroll over dette domenenavnet til en pålitelig tredjeparts sertifikatmyndighet (CA), for eksempel SSL.com. Hvis denne bekreftelsen mislykkes, vil nettleseren advare deg om ikke å stole på nettstedet.
For de fleste applikasjoner, SSL /TLS bruker denne typen enveis autentisering av en server til en klient; en anonym klient (nettleseren) forhandler om en kryptert økt med en webserver, som presenterer en offentlig klarert SSL /TLS sertifikat for å identifisere seg selv under SSL /TLS håndtrykk:
CertificateRequest melding til klienten. Klienten vil svare ved å sende et sertifikat til serveren for godkjenning:
Client Authentication (1.3.6.1.5.5.7.3.2) Extended Key Usage (EKU) er installert på klientenheten. Alle SSL.com-er E-post-, klient- og dokumentsigneringssertifikater inkluderer klientautentisering.
Brukstilfeller for gjensidig godkjenning
Gjensidig TLS autentisering kan brukes både for å autentisere sluttbrukere og for gjensidig autentisering av enheter i et datanettverk.
Bruker autentisering
Bedrifter og andre organisasjoner kan distribuere digitale klientsertifikater til sluttbrukere som ansatte, entreprenører og kunder. Disse klientsertifikatene kan brukes som en autentiseringsfaktor for tilgang til bedriftsressurser som Wi-Fi, VPN og webapplikasjoner. Når det brukes i stedet for (eller i tillegg til) tradisjonelle brukernavn / passord legitimasjon, gjensidig TLS tilbyr flere sikkerhetsfordeler:
- Gjensidig TLS autentisering er ikke sårbar for legitimasjonstyveri via taktikker som f.eks phishing. Verizon Analyserapport fra 2020 indikerer at nesten en fjerdedel (22%) av datainnbrudd skyldes phishing. Phishing-kampanjer er ute etter pålitelige legitimasjoner som nettstedsinnloggingspassord, ikke de private nøklene til brukernes klientsertifikater. Som et ytterligere forsvar mot phishing, alle SSL.com-er E-post, klient og dokumentsignering sertifikater inkluderer offentlig klarert S/MIME for signert og kryptert e-post.
- Gjensidig TLS autentisering kan ikke kompromitteres av dårlig passordhygiene eller brute force-angrep på passord. Du kan kreve at brukerne lager sterke passord, men hvordan vet du at de ikke bruker det samme "sikre" passordet på 50 forskjellige nettsteder, eller har det skrevet på en lapp? EN 2019 Google-undersøkelse indikerer at 52% av brukerne bruker passord for flere kontoer, og 13% av brukerne bruker samme passord for alle av kontoene deres.
- Kundesertifikater gir en klar kjede av tillit, og kan styres sentralt. Med gjensidig TLS, bekreftelse av hvilken sertifikatmyndighet (CA) som har utstedt en brukers legitimasjon, blir bakt direkte inn i autentiseringsprosessen. SSL.coms online administrasjonsverktøy, SWS API, og tilgang til standardprotokoller som SCEP gjør utgivelse, fornyelse og tilbakekalling av disse legitimasjonene et øyeblikk!
SSL.com tilbyr flere alternativer for utstedelse og administrasjon av klientsertifikater:
- Enkeltpersoner eller organisasjoner som bare krever ett eller få sertifikater kan bestille E-post-, klient- og dokumentsigneringssertifikater á la carte fra SSL.com.
- Protokoller som SCEP, EST og CMP kan brukes til å automatisere påmelding og fornyelse av klientsertifikater for bedriftseide og BYO-enheter.
- For kunder som trenger et stort antall sertifikater, er grossistrabatter tilgjengelig via vår Program for forhandler og voluminnkjøp.
Autentisering av IoT-enheter
Gjensidig TLS autentisering er også mye brukt for autentisering fra maskin til maskin. Av denne grunn har den mange applikasjoner for Internet of Things (IoT) -enheter. I verden av IoT er det mange tilfeller der en "smart" enhet kan trenge å autentisere seg over et usikkert nettverk (for eksempel internett) for å få tilgang til beskyttede ressurser på en server.
Eksempel: En “smart” termostat
Som et forenklet eksempel på gjensidig TLS for IoT, vil vi vurdere en produsent som designer en internett-tilkoblet "smart" termostat for hjemmebruk. Når de er koblet til internett hjemme hos kunden, vil produsenten at enheten skal sende og motta data til og fra selskapets servere, slik at kundene kan få tilgang til temperaturforhold og termostatinnstillinger i hjemmet via brukerkontoen sin på selskapets nettsted / eller en smarttelefonapp. I dette tilfellet kan produsenten:
- Send hver enhet med et unikt kryptografisk nøkkelpar og klientsertifikat. Fordi all kommunikasjon vil være mellom termostaten og selskapets servere, kan disse sertifikatene være privat pålitelig, som gir ekstra fleksibilitet for policyer som sertifikatets levetid.
- Gi en unik enhetskode (for eksempel et serienummer eller QR-kode) som kunden kan skanne eller legge inn på brukerkontoen sin på produsentens nettportal eller smarttelefonapp for å knytte enheten til kontoen sin.
Når enheten er koblet til internett via brukerens Wi-Fi-nettverk, vil den åpne en gjensidig TLS forbindelse med produsentens server. Serveren vil autentisere seg mot termostaten og be om termostats klientsertifikat, som er knyttet til den unike koden som brukeren har lagt inn på kontoen.
De to partene i forbindelsen (server og termostat) er nå gjensidig godkjent og kan sende meldinger frem og tilbake med SSL /TLS kryptering over applikasjonslagsprotokoller som HTTPS og MQTT. Brukeren kan få tilgang til data fra termostaten eller gjøre endringer i innstillingene med webportalkontoen eller smarttelefonappen. Det er aldri noe behov for uautoriserte eller klare tekstmeldinger mellom de to enhetene.
Å snakke med en ekspert om hvordan SSL.com kan hjelpe deg med å sikre IoT-enhetene dine og forbedre brukersikkerheten med gjensidig TLS, fyll ut og send inn skjemaet nedenfor: