Autenticação de usuários e dispositivos IoT com Mutual TLS

SSL unilateral e mútuo /TLS Autenticação

Uma das características definidoras do SSL /TLS protocolo é sua função na autenticação de partes anônimas em redes de computadores (como a Internet). Quando você visita um site com um público confiável SSL /TLS certificado, seu navegador pode verificar se o proprietário do site demonstrou com êxito o controle sobre esse nome de domínio para uma autoridade de certificação (CA) de terceiros confiável, como SSL.com. Se essa verificação falhar, o navegador da Web o avisará para não confiar nesse site.

Para a maioria dos aplicativos, SSL /TLS usa este tipo de autenticação unilateral de um servidor para um cliente; um cliente anônimo (o navegador da web) negocia uma sessão criptografada com um servidor da web, que apresenta um SSL / publicamente confiávelTLS certificado para se identificar durante o SSL /TLS aperto de mão:

autenticação unilateralAutenticação mútua, em que ambos os servidores e cliente no SSL /TLS sessão são autenticadas, também é possível e pode ser muito útil em algumas circunstâncias. Na autenticação mútua, uma vez que o servidor é autenticado durante o handshake, ele enviará um CertificateRequest mensagem para o cliente. O cliente responderá enviando um certificado ao servidor para autenticação:

autenticação mútuaAutenticação de cliente via mútua TLS requer que um certificado incluindo o Client Authentication (1.3.6.1.5.5.7.3.2) O uso estendido de chave (EKU) é instalado no dispositivo cliente. Todos SSL.com's Certificados de assinatura de e-mail, cliente e documento incluem autenticação de cliente.

Ir para o início

Casos de uso de autenticação mútua

Mútuo TLS a autenticação pode ser usada para autenticar usuários finais e para autenticação mútua de dispositivos em uma rede de computadores.

Autenticação de usuário

Empresas e outras organizações podem distribuir certificados de cliente digital para usuários finais, como funcionários, contratados e clientes. Esses certificados de cliente podem ser usados ​​como um fator de autenticação para acesso a recursos corporativos, como Wi-Fi, VPNs e aplicativos da web. Quando usado em vez de (ou além de) credenciais de nome de usuário / senha tradicionais, mútuo TLS oferece várias vantagens de segurança:

  • Mútuo TLS a autenticação não é vulnerável a roubo de credencial por meio de táticas como Phishing. Verizon's Relatório de investigações de violação de dados 2020 indica que quase um quarto (22%) das violações de dados são devido a phishing. As campanhas de phishing buscam credenciais facilmente obtidas, como senhas de login de sites, não as chaves privadas dos certificados de clientes dos usuários. Como uma defesa adicional contra phishing, todos os SSL.com's Email, Cliente e Assinatura de Documento certificados incluem publicamente confiáveis S/MIME para email assinado e criptografado.
  • Mútuo TLS a autenticação não pode ser comprometida por falta de higiene de senha ou ataques de força bruta às senhas. Você pode exigir que os usuários criem senhas fortes, mas como saber se eles não usam a mesma senha “segura” em 50 sites diferentes ou a têm escrita em um post-it? UMA Pesquisa do Google 2019 indica que 52% dos usuários reutilizam senhas para várias contas e 13% dos usuários reutilizam a mesma senha para todos os de suas contas.
  • Os certificados do cliente oferecem um claro cadeia de confiançae pode ser gerenciado centralmente. Com mútuo TLS, a verificação de qual autoridade de certificação (CA) emitiu as credenciais de um usuário é incluída diretamente no processo de autenticação. SSL.com's ferramentas de gestão online, API SWSe o acesso a protocolos padrão como SCEP tornam a emissão, renovação e revogação dessas credenciais um piscar de olhos!

SSL.com oferece várias opções para emissão e gerenciamento de certificados de cliente:

  • Indivíduos ou organizações que requerem apenas um ou alguns certificados podem solicitar Certificados de assinatura de e-mail, cliente e documento à la carte de SSL.com.
  • Protocolos como SCEP, EST e CMP podem ser usados ​​para automatizar a inscrição e renovação de certificado de cliente para dispositivos de propriedade da empresa e BYO.
  • Para clientes que exigem uma grande quantidade de certificados, descontos no atacado estão disponíveis em nosso Programa de revendedor e compra por volume.

 

Ir para o início

Autenticação de dispositivos IoT

Mútuo TLS a autenticação também é amplamente usada para autenticação máquina a máquina. Por esse motivo, ele possui diversos aplicativos para dispositivos de Internet das Coisas (IoT). No mundo da IoT, há muitos casos em que um dispositivo “inteligente” pode precisar se autenticar em uma rede insegura (como a Internet) para acessar recursos protegidos em um servidor.

Exemplo: um termostato “inteligente”

Como um exemplo simplificado de mútuo TLS para a IoT, consideraremos um fabricante que está projetando um termostato “inteligente” conectado à Internet para uso doméstico. Uma vez conectado à Internet na casa do cliente, o fabricante deseja que o dispositivo envie e receba dados de e para os servidores da empresa, para que os clientes possam acessar as condições de temperatura e as configurações do termostato em sua casa por meio de sua conta de usuário no site da empresa e / ou um aplicativo de smartphone. Nesse caso, o fabricante poderia:

  • Envie cada dispositivo com um único par de chaves criptográficas e certificado de cliente. Como toda a comunicação será entre o termostato e os servidores da empresa, esses certificados podem ser Confiável em particular, oferecendo flexibilidade adicional para políticas como a vida útil do certificado.
  • Forneça um código de dispositivo exclusivo (como um número de série ou código QR) que o cliente pode digitalizar ou inserir em sua conta de usuário no portal da web do fabricante ou aplicativo de smartphone para associar o dispositivo à sua conta.

Assim que o dispositivo estiver conectado à Internet por meio da rede Wi-Fi do usuário, ele abrirá um TLS conexão com o servidor do fabricante. O servidor irá se autenticar no termostato e solicitar o certificado de cliente do termostato, que está associado ao código exclusivo inserido pelo usuário em sua conta.

As duas partes da conexão (servidor e termostato) agora são mutuamente autenticadas e podem enviar e receber mensagens com SSL /TLS criptografia sobre protocolos de camada de aplicativo como HTTPS e MQTT. O usuário pode acessar dados do termostato ou fazer alterações em suas configurações com sua conta do portal da web ou aplicativo de smartphone. Nunca há necessidade de mensagens não autenticadas ou de texto não criptografado entre os dois dispositivos.

Para falar com um especialista sobre como SSL.com pode ajudá-lo a proteger seus dispositivos IoT e melhorar a segurança do usuário com TLS, preencha e envie o formulário abaixo:

Entre em contato com um especialista SSL.com sobre a Mutual TLS e a IoT

Ir para o início
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.

Equipe de Suporte SSL.com

Autor - Administrador de Conteúdo
Todas as mensagens

Posts Relacionados do Blog

Ver todas as postagens do blog
Facebook Linkedin Twitter Youtube Github

O que é SSL /TLS?

Reproduzir Vídeo

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa