Autenticacao Mutua
O que é Autenticacao Mutua?
Autenticacao MutuaTroca de autenticacao em que ambas as partes — cliente e servidor, ou dois servicos — provam criptograficamente a sua identidade antes de trocar dados.
A autenticacao mutua, ou two-way, exige que ambos os lados da conexao verifiquem a identidade do outro, e nao apenas o servidor perante o cliente. A implementacao dominante hoje e o mutual TLS (mTLS) definido na RFC 8446 para TLS 1.3, em que cada lado apresenta um certificado X.509 validado contra uma CA privada. Outros exemplos: AP-REQ/AP-REP do Kerberos, SSH com autenticacao de host e chave, IPsec IKEv2 com certificado e ceremonias FIDO2/WebAuthn com attestation. E obrigatoria em service meshes (Istio, Linkerd, Consul) e em arquiteturas zero trust como o Google BeyondCorp, onde cada chamada entre workloads utiliza identidades SPIFFE de curta duracao. Mitiga impersonificacao, man-in-the-middle e servicos rogue.
● Exemplos
- 01
Service mesh Istio que aplica mTLS entre cada par de microservicos num cluster Kubernetes.
- 02
APIs bancarias exigindo certificado de cliente emitido pela CA privada do banco alem de tokens OAuth.
● Perguntas frequentes
O que é Autenticacao Mutua?
Troca de autenticacao em que ambas as partes — cliente e servidor, ou dois servicos — provam criptograficamente a sua identidade antes de trocar dados. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Autenticacao Mutua?
Troca de autenticacao em que ambas as partes — cliente e servidor, ou dois servicos — provam criptograficamente a sua identidade antes de trocar dados.
Como funciona Autenticacao Mutua?
A autenticacao mutua, ou two-way, exige que ambos os lados da conexao verifiquem a identidade do outro, e nao apenas o servidor perante o cliente. A implementacao dominante hoje e o mutual TLS (mTLS) definido na RFC 8446 para TLS 1.3, em que cada lado apresenta um certificado X.509 validado contra uma CA privada. Outros exemplos: AP-REQ/AP-REP do Kerberos, SSH com autenticacao de host e chave, IPsec IKEv2 com certificado e ceremonias FIDO2/WebAuthn com attestation. E obrigatoria em service meshes (Istio, Linkerd, Consul) e em arquiteturas zero trust como o Google BeyondCorp, onde cada chamada entre workloads utiliza identidades SPIFFE de curta duracao. Mitiga impersonificacao, man-in-the-middle e servicos rogue.
Como se defender contra Autenticacao Mutua?
As defesas contra Autenticacao Mutua costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Autenticacao Mutua?
Nomes alternativos comuns: Autenticacao bidirecional, TLS mutuo, mTLS.
● Termos relacionados
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico padronizado pelo IETF que fornece confidencialidade, integridade e autenticação ao tráfego entre duas aplicações em rede.
- network-security№ 157
Fixação de certificados
Técnica em que uma aplicação fixa um certificado ou chave pública esperada e recusa ligações TLS que não correspondam, neutralizando CAs comprometidas ou fraudulentas.
- network-security№ 878
Infraestrutura de Chave Pública (PKI)
Conjunto de políticas, software, hardware e autoridades de confiança que emite, distribui, valida e revoga certificados digitais que ligam identidades a chaves públicas.
- network-security№ 156
Autoridade de certificação (CA)
Entidade de confiança que emite e assina certificados digitais, ligando chaves públicas a identidades verificadas, como nomes de domínio ou organizações.
- identity-access№ 584
Kerberos
Protocolo de autenticação de rede baseado em tickets que utiliza criptografia simétrica e um Centro de Distribuição de Chaves confiável para oferecer SSO seguro entre serviços.
- identity-access№ 076
Autenticação
Processo de verificar que uma entidade — utilizador, dispositivo ou serviço — é realmente quem afirma ser antes de conceder acesso.