Envägs och ömsesidig SSL /TLS Autentisering
En av de definierande funktionerna i SSL /TLS protokollet är dess roll för att autentisera annars anonyma parter i datanätverk (t.ex. internet). När du besöker en webbplats med en offentligt betrodd SSL /TLS certifikatkan din webbläsare verifiera att webbplatsägaren framgångsrikt har visat kontroll över domännamnet till en betrodd certifikatutfärdare från tredje part (CA), till exempel SSL.com. Om den här verifieringen misslyckas varnar webbläsaren dig för att inte lita på den webbplatsen.
För de flesta applikationer, SSL /TLS använder den här typen av enkelriktad autentisering av en server till en klient; en anonym klient (webbläsaren) förhandlar om en krypterad session med en webbserver, som presenterar en offentligt pålitlig SSL /TLS certifikat för att identifiera sig under SSL /TLS handskakning:
CertificateRequest meddelande till klienten. Klienten svarar genom att skicka ett certifikat till servern för autentisering:
Client Authentication (1.3.6.1.5.5.7.3.2) Utökad nyckelanvändning (EKU) är installerad på klientenheten. Alla SSL.coms E-post-, klient- och dokumentsigneringscertifikat inkluderar klientautentisering.
Användningsfall för ömsesidig autentisering
Ömsesidigt TLS autentisering kan användas både för att autentisera slutanvändare och för ömsesidig autentisering av enheter i ett datanätverk.
Användarautentisering
Företag och andra organisationer kan distribuera digitala klientcertifikat till slutanvändare som anställda, entreprenörer och kunder. Dessa klientcertifikat kan användas som en autentiseringsfaktor för åtkomst till företagsresurser som Wi-Fi, VPN och webbapplikationer. När det används istället för (eller utöver) traditionella användarnamn / lösenordsuppgifter, ömsesidigt TLS erbjuder flera säkerhetsfördelar:
- Ömsesidigt TLS autentisering är inte sårbar för referensstöld via taktik som Nätfiske. Verizons Utredningsrapport för dataintrång 2020 indikerar att nästan en fjärdedel (22%) av dataintrång beror på nätfiske. Nätfiske-kampanjer är ute för att få ut mer information som webbplatsinloggningslösenord, inte de privata nycklarna till användarnas klientcertifikat. Som ett ytterligare försvar mot nätfiske, alla SSL.com: s E-post-, klient- och dokumentsignering certifikat inkluderar offentligt betrodda S/MIME för signerad och krypterad e-post.
- Ömsesidigt TLS autentisering kan inte äventyras av dålig lösenordshygien eller brute force attacker på lösenord. Du kan kräva att användare skapar starka lösenord, men hur vet du att de inte använder samma "säkra" lösenord på 50 olika webbplatser, eller har det skrivits på en fästis? A 2019 Google-undersökning indikerar att 52% av användarna återanvänder lösenord för flera konton och 13% av användarna återanvänder samma lösenord för alla av deras konton.
- Kundcertifikat erbjuder en tydlig förtroendekedjaoch kan hanteras centralt. Med ömsesidig TLS, verifiering av vilken certifikatutfärdare (CA) som utfärdat en användares referenser bakas direkt in i autentiseringsprocessen. SSL.com: s verktyg för onlinehantering, SWS API, och tillgång till standardprotokoll som SCEP gör utfärdande, förnyelse och återkallande av dessa referenser till ett ögonblick!
SSL.com erbjuder flera alternativ för utfärdande och hantering av klientcertifikat:
- Individer eller organisationer som bara behöver ett eller några certifikat kan beställa E-post-, klient- och dokumentsigneringscertifikat á la carte från SSL.com.
- Protokoll som SCEP, EST och CMP kan användas för att automatisera registrering och förnyelse av klientcertifikat för företagsägda enheter och BYO-enheter.
- För kunder som behöver en stor mängd certifikat finns grossistrabatter tillgängliga via våra Återförsäljar- och volymköpsprogram.
Autentisering av IoT-enheter
Ömsesidigt TLS autentisering används också ofta för autentisering mellan maskin och maskin. Av den anledningen har den många applikationer för Internet of Things (IoT) -enheter. I världen av IoT finns det många fall där en “smart” enhet kan behöva verifiera sig själv över ett osäkert nätverk (t.ex. internet) för att få åtkomst till skyddade resurser på en server.
Exempel: En “smart” termostat
Som ett förenklat exempel på ömsesidig TLS för IoT kommer vi att överväga en tillverkare som utformar en internetansluten "smart" termostat för hemmabruk. När de väl är anslutna till internet i kundens hem, vill tillverkaren att enheten skickar och tar emot data till och från företagets servrar, så att kunderna kan komma åt temperaturförhållanden och termostatinställningar i sitt hem via sitt användarkonto på företagets webbplats / eller en smartphone-app. I det här fallet kan tillverkaren:
- Skicka varje enhet med ett unikt kryptografiskt nyckelpar och klientcertifikat. Eftersom all kommunikation kommer att ske mellan termostaten och företagets servrar kan dessa certifikat vara det privat betroddasom erbjuder ytterligare flexibilitet för policyer som certifikatlivslängd.
- Ange en unik enhetskod (till exempel ett serienummer eller QR-kod) som kunden kan skanna eller ange sitt användarkonto på tillverkarens webbportal eller smartphone-app för att associera enheten med sitt konto.
När enheten är ansluten till internet via användarens Wi-Fi-nätverk öppnar den en ömsesidig TLS anslutning till tillverkarens server. Servern kommer att autentisera sig för termostaten och begära termostatens klientcertifikat, vilket är associerat med den unika koden som användaren angett i deras konto.
De två parterna i anslutningen (server och termostat) är nu ömsesidigt autentiserade och kan skicka meddelanden fram och tillbaka med SSL /TLS kryptering över applikationslagerprotokoll som HTTPS och MQTT. Användaren kan komma åt data från termostaten eller göra ändringar i dess inställningar med sitt webbportalkonto eller smartphone-app. Det finns aldrig något behov av obehöriga eller klartextmeddelanden mellan de två enheterna.
Att prata med en expert om hur SSL.com kan hjälpa dig att skydda dina IoT-enheter och förbättra användarsäkerheten med ömsesidigt TLS, fyll i och skicka formuläret nedan: