单向和双向SSL /TLS 认证
SSL /的定义功能之一TLS 协议是它在身份验证计算机网络(例如Internet)上匿名方的角色。 当您访问公众信任的网站时 SSL /TLS 证书,您的浏览器可以验证网站所有者是否已成功向受信任的第三方证书颁发机构(CA)(例如SSL.com)证明了对该域名的控制权。 如果此验证失败,则Web浏览器将警告您不要信任该站点。
对于大多数应用程序,SSL /TLS 使用这种 单向认证 服务器到客户端; 匿名客户端(网络浏览器)与网络服务器协商加密会话,该服务器会提供公共信任的SSL /TLS 证明自己身份的证书 SSL /TLS 握手:
CertificateRequest 给客户的信息。 客户端将通过向服务器发送证书进行身份验证进行响应:
Client Authentication (1.3.6.1.5.5.7.3.2) 客户端设备上安装了扩展密钥用法(EKU)。 所有SSL.com的 电子邮件,客户端和文档签名证书 包括客户端身份验证。
相互认证用例
相互 TLS 身份验证既可以用于对最终用户进行身份验证,也可以用于计算机网络上设备的相互身份验证。
用户认证
企业和其他组织可以将数字客户端证书分发给最终用户,例如员工,承包商和客户。 这些客户端证书可以用作访问公司资源(例如Wi-Fi,VPN和Web应用程序)的身份验证因素。 代替(或补充)传统的用户名/密码凭证时,相互 TLS 具有几个安全优势:
- 相互 TLS 身份验证不容易通过诸如 钓鱼. Verizon的 2020数据违规调查报告 表示将近四分之一(22%)的数据泄露是由于网络钓鱼造成的。 网络钓鱼活动旨在获取容易获得的凭据,例如网站登录密码,而不是用户客户端证书的私钥。 为了进一步防范网络钓鱼,SSL.com的所有 电子邮件,客户端和文档签名 证书包括公共信任的 S/MIME 用于签名和加密的电子邮件。
- 相互 TLS 不良的密码卫生或暴力破解密码不会破坏身份验证。 您可以要求用户创建强密码,但是您如何知道他们没有在50个不同的网站上使用相同的“安全”密码,或者没有将其写在便笺上? 一个 2019年Google调查 表示52%的用户重复使用多个帐户的密码,而13%的用户重复使用相同的密码 所有 他们的帐户。
- 客户证书提供清晰的 信任链,并且可以集中管理。 与彼此 TLS,哪个证书颁发机构(CA)颁发了用户凭据的验证将直接进入身份验证过程。 SSL.com的 在线管理工具, 软件接口,以及对标准协议(如SCEP)的访问,使签发,更新和吊销这些凭证变得非常容易!
SSL.com提供了多种发行和管理客户端证书的选项:
- 只需要一个或几个证书的个人或组织就可以订购 电子邮件,客户端和文档签名证书 来自SSL.com的点菜。
- 诸如SCEP,EST和CMP之类的协议可用于自动为公司拥有的和BYO设备进行客户端证书注册和续订。
- 对于需要大量证书的客户,可通过我们的批发折扣获得 经销商和批量购买计划.
物联网设备认证
相互 TLS 身份验证也广泛用于机器对机器的身份验证。 因此,它具有许多用于物联网(IoT)设备的应用程序。 在物联网世界中,在许多情况下,“智能”设备可能需要通过不安全的网络(例如Internet)进行身份验证才能访问服务器上受保护的资源。
示例:“智能”恒温器
作为相互简化的例子 TLS 对于物联网,我们将考虑一家制造商,该制造商正在设计用于互联网的家用“智能”恒温器。 一旦连接到客户家中的互联网,制造商便希望该设备向公司的服务器发送数据或从公司的服务器接收数据,以便客户可以通过公司网站上的用户帐户访问家中的温度条件和恒温器设置。 /或智能手机应用。 在这种情况下,制造商可以:
- 为每台设备提供唯一的加密密钥对和客户端证书。 由于所有通信都将在恒温器和公司服务器之间进行,因此这些证书可能是 私人信任,为证书有效期等策略提供了额外的灵活性。
- 提供唯一的设备代码 (例如序列号或QR码),客户可以在制造商的Web门户或智能手机应用程序上扫描或输入其用户帐户,以将设备与其帐户相关联。
设备通过用户的Wi-Fi网络连接到互联网后,它将打开一个双向 TLS 与制造商的服务器连接。 服务器将向恒温器进行身份验证,并请求恒温器的客户证书,该证书与用户在其帐户中输入的唯一代码相关联。
现在,连接的两方(服务器和恒温器)已相互认证,可以使用SSL /来回发送消息TLS 通过诸如应用层协议的加密 HTTPS 和MQTT。 用户可以通过其门户网站帐户或智能手机应用程序访问恒温器中的数据或对其设置进行更改。 两个设备之间完全不需要未经身份验证的消息或明文消息。
与专家讨论SSL.com如何通过相互帮助来保护您的IoT设备并提高用户安全性 TLS,请填写并提交以下表格: