CyberGlossary

Сетевая безопасность

Взаимный TLS (mTLS)

Также известно как: Двусторонний TLS, TLS с клиентской аутентификацией

Определение

Расширение TLS, при котором и клиент, и сервер предъявляют сертификаты X.509, что обеспечивает криптографическую взаимную аутентификацию сторон.

Взаимный TLS — это вариант TLS-рукопожатия, при котором сервер не только предъявляет свой сертификат, но и запрашивает сертификат у клиента. После проверки цепочки сертификатов и подтверждения владения закрытым ключом стороны устанавливают зашифрованный, взаимно аутентифицированный сеанс. mTLS широко применяется для межмашинного и межсервисного взаимодействия в архитектурах нулевого доверия, API-шлюзах, сервисных сетках и в качестве замены VPN. Лучшие практики включают краткосрочные сертификаты от частного УЦ, автоматическую ротацию, проверки OCSP или CRL и строгую сверку идентичности.

Примеры

  • Сервисная сетка Kubernetes выдаёт SPIFFE-идентичности, благодаря чему все вызовы между подами используют mTLS.
  • API-шлюз требует от партнёрских систем клиентский сертификат, подписанный внутренним УЦ.

Связанные термины