Jednokierunkowy i wzajemny SSL /TLS Uwierzytelnianie
Jedną z definiujących cech SSL /TLS protokół to jego rola w uwierzytelnianiu anonimowych stron w sieciach komputerowych (takich jak internet). Kiedy odwiedzasz witrynę z zaufaną publicznie SSL /TLS świadectwoTwoja przeglądarka może zweryfikować, czy właściciel witryny pomyślnie zademonstrował kontrolę nad tą nazwą domeny zaufanemu zewnętrznemu urzędowi certyfikacji (CA), na przykład SSL.com. Jeśli weryfikacja się nie powiedzie, przeglądarka internetowa wyświetli ostrzeżenie, aby nie ufać tej witrynie.
W przypadku większości aplikacji SSL /TLS używa tego rodzaju uwierzytelnianie jednokierunkowe serwera do klienta; anonimowy klient (przeglądarka internetowa) negocjuje szyfrowaną sesję z serwerem WWW, który prezentuje publicznie zaufany SSL /TLS certyfikat, aby zidentyfikować się podczas SSL /TLS uścisk ręki:
Wzajemne uwierzytelnianie, w którym zarówno serwer i klient w SSL /TLS sesje są uwierzytelniane, jest również możliwe i może być bardzo przydatne w pewnych okolicznościach. W przypadku uwierzytelniania wzajemnego, gdy serwer zostanie uwierzytelniony podczas uzgadniania, wyśle plik CertificateRequest wiadomość do klienta. Klient odpowie, wysyłając certyfikat do serwera w celu uwierzytelnienia:
Uwierzytelnianie klienta poprzez wzajemne TLS wymaga certyfikatu zawierającego Client Authentication (1.3.6.1.5.5.7.3.2) Rozszerzone użycie klucza (EKU) jest zainstalowane na urządzeniu klienckim. Wszystkie z SSL.com Certyfikaty poczty e-mail, klienta i podpisywania dokumentów obejmują uwierzytelnianie klienta.
Przypadki użycia wzajemnego uwierzytelniania
Wzajemny TLS uwierzytelnianie może służyć zarówno do uwierzytelniania użytkowników końcowych, jak i do wzajemnego uwierzytelniania urządzeń w sieci komputerowej.
Uwierzytelnianie użytkownika
Firmy i inne organizacje mogą dystrybuować cyfrowe certyfikaty klientów do użytkowników końcowych, takich jak pracownicy, kontrahenci i klienci. Te certyfikaty klienta mogą służyć jako czynnik uwierzytelniania w celu uzyskania dostępu do zasobów firmowych, takich jak Wi-Fi, VPN i aplikacje internetowe. W przypadku użycia zamiast (lub oprócz) tradycyjnych danych uwierzytelniających nazwy użytkownika / hasła, wzajemne TLS oferuje kilka zalet bezpieczeństwa:
- Wzajemny TLS uwierzytelnianie nie jest podatne na kradzież poświadczeń za pomocą taktyk takich jak phishing. Verizon Raport z dochodzeń w sprawie naruszenia danych 2020 wskazuje, że prawie jedna czwarta (22%) przypadków naruszenia bezpieczeństwa danych wynika z phishingu. Kampanie phishingowe mają na celu łatwe pozyskanie danych uwierzytelniających, takich jak hasła logowania do witryny, a nie klucze prywatne do certyfikatów klientów użytkowników. W celu dalszej ochrony przed phishingiem wszystkie witryny SSL.com E-mail, klient i podpisywanie dokumentów certyfikaty obejmują publicznie zaufane S/MIME dla podpisanych i zaszyfrowanych wiadomości e-mail.
- Wzajemny TLS uwierzytelnianie nie może być zagrożone przez słabą higienę haseł lub ataki siłowe na hasła. Możesz wymagać od użytkowników tworzenia silnych haseł, ale skąd wiesz, że nie używają tego samego „bezpiecznego” hasła w 50 różnych witrynach internetowych lub nie zapisują go na samoprzylepnej karteczce? ZA Ankieta Google 2019 wskazuje, że 52% użytkowników ponownie używa haseł do wielu kont, a 13% użytkowników używa tego samego hasła do cała kolekcja swoich kont.
- Certyfikaty klienta oferują jasne łańcuch zaufaniai może być zarządzany centralnie. Z wzajemnym TLS, weryfikacja, który ośrodek certyfikacji (CA) wydał poświadczenia użytkownika, jest wprowadzana bezpośrednio do procesu uwierzytelniania. SSL.com's narzędzia do zarządzania online, API SWSa dostęp do standardowych protokołów, takich jak SCEP, sprawia, że wydawanie, odnawianie i unieważnianie tych poświadczeń jest bardzo proste!
SSL.com oferuje wiele opcji wystawiania i zarządzania certyfikatami klienta:
- Osoby lub organizacje wymagające tylko jednego lub kilku certyfikatów mogą zamówić Certyfikaty poczty e-mail, klienta i podpisywania dokumentów á la carte z SSL.com.
- Protokoły, takie jak SCEP, EST i CMP, mogą służyć do automatyzacji rejestracji i odnawiania certyfikatów klientów dla urządzeń należących do firmy i urządzeń BYO.
- Dla klientów wymagających dużej ilości certyfikatów dostępne są rabaty hurtowe Program dla sprzedawców i zakupów grupowych.
Uwierzytelnianie urządzeń IoT
Wzajemny TLS uwierzytelnianie jest również szeroko stosowane do uwierzytelniania między maszynami. Z tego powodu ma wiele aplikacji dla urządzeń Internetu rzeczy (IoT). W świecie IoT istnieje wiele przypadków, w których „inteligentne” urządzenie może wymagać uwierzytelnienia się w niezabezpieczonej sieci (takiej jak Internet), aby uzyskać dostęp do chronionych zasobów na serwerze.
Przykład: „Inteligentny” termostat
Jako uproszczony przykład wzajemnych TLS w przypadku IoT weźmiemy pod uwagę producenta, który projektuje „inteligentny” termostat połączony z Internetem do użytku domowego. Po podłączeniu do internetu w domu klienta, producent chciałby, aby urządzenie wysyłało i odbierało dane do i z serwerów firmy, tak aby klienci mieli dostęp do warunków temperatury i ustawień termostatu w swoim domu poprzez konto użytkownika na stronie internetowej firmy / lub aplikację na smartfony. W takim przypadku producent mógłby:
- Dostarcz każde urządzenie z unikalną parą kluczy kryptograficznych i certyfikatem klienta. Ponieważ cała komunikacja będzie odbywała się między termostatem a serwerami firmy, te certyfikaty mogą być prywatnie zaufany, oferując dodatkową elastyczność w zakresie zasad, takich jak okres ważności certyfikatu.
- Podaj unikalny kod urządzenia (np. numer seryjny lub kod QR), który klient może zeskanować lub wprowadzić do swojego konta użytkownika w portalu internetowym producenta lub aplikacji na smartfony, aby powiązać urządzenie z kontem.
Gdy urządzenie zostanie podłączone do Internetu za pośrednictwem sieci Wi-Fi użytkownika, otworzy się wzajemne TLS połączenie z serwerem producenta. Serwer uwierzytelni się w termostacie i zażąda certyfikatu klienta termostatu, który jest powiązany z unikalnym kodem wprowadzonym przez użytkownika do jego konta.
Dwie strony połączenia (serwer i termostat) są teraz wzajemnie uwierzytelniane i mogą wysyłać wiadomości tam iz powrotem za pomocą SSL /TLS szyfrowanie za pośrednictwem protokołów warstwy aplikacji, takich jak HTTPS i MQTT. Użytkownik może uzyskać dostęp do danych z termostatu lub dokonać zmian w jego ustawieniach za pomocą swojego konta w portalu internetowym lub aplikacji na smartfona. Nigdy nie ma potrzeby wysyłania nieuwierzytelnionych lub czystych wiadomości tekstowych między dwoma urządzeniami.
Aby porozmawiać z ekspertem o tym, jak SSL.com może pomóc w zabezpieczeniu urządzeń IoT i poprawie bezpieczeństwa użytkowników dzięki wzajemnym rozwiązaniom TLSproszę wypełnić i przesłać poniższy formularz:
