Mutual TLS (mTLS)
Was ist Mutual TLS (mTLS)?
Mutual TLS (mTLS)Eine TLS-Erweiterung, bei der sowohl Client als auch Server X.509-Zertifikate vorlegen, um sich kryptografisch gegenseitig zu authentifizieren.
Mutual TLS ist eine Variante des TLS-Handshakes, bei der der Server zusätzlich zu seinem eigenen Zertifikat auch ein Client-Zertifikat anfordert. Nach der Validierung der Zertifikatskette und dem Nachweis des privaten Schlüssels bauen beide Endpunkte eine verschlüsselte, beidseitig authentifizierte Sitzung auf. mTLS wird häufig für Maschine-zu-Maschine- und Dienst-zu-Dienst-Kommunikation in Zero-Trust-Architekturen, API-Gateways, Service-Meshes und als VPN-Ersatz eingesetzt. Empfehlenswerte Praktiken sind kurzlebige Zertifikate einer privaten CA, automatisierte Rotation, OCSP- oder CRL-Prüfungen sowie strenger Identitätsabgleich.
● Beispiele
- 01
Ein Kubernetes-Service-Mesh, das SPIFFE-Identitäten ausstellt, sodass jeder Pod-zu-Pod-Aufruf mTLS verwendet.
- 02
Ein API-Gateway, das Partnersystemen ein Client-Zertifikat einer internen CA abverlangt.
● Häufige Fragen
Was ist Mutual TLS (mTLS)?
Eine TLS-Erweiterung, bei der sowohl Client als auch Server X.509-Zertifikate vorlegen, um sich kryptografisch gegenseitig zu authentifizieren. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Mutual TLS (mTLS)?
Eine TLS-Erweiterung, bei der sowohl Client als auch Server X.509-Zertifikate vorlegen, um sich kryptografisch gegenseitig zu authentifizieren.
Wie schützt man sich gegen Mutual TLS (mTLS)?
Schutzmaßnahmen gegen Mutual TLS (mTLS) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Mutual TLS (mTLS)?
Übliche alternative Bezeichnungen: Zweiseitiges TLS, TLS mit Client-Authentifizierung.