Entry № 801
双向 TLS(mTLS)
双向 TLS(mTLS) 是什么?
双向 TLS(mTLS)TLS 的扩展模式,客户端和服务器都出示 X.509 证书,从而以加密方式相互认证对方身份。
双向 TLS 是 TLS 握手的一种变体,服务器在出示自身证书的同时也要求客户端提供证书。在校验证书链并确认私钥持有者后,双方建立加密且经过相互认证的会话。它被广泛应用于零信任架构、API 网关、服务网格以及 VPN 替代方案中的机器对机器和服务对服务通信。良好实践包括由私有 CA 签发的短期证书、自动轮换、OCSP 或 CRL 检查,以及在客户端证书与身份不匹配时拒绝令牌或承载凭据。
● 示例
- 01
Kubernetes 服务网格为每个 Pod 颁发 SPIFFE 身份,所有 Pod 间调用都使用 mTLS。
- 02
API 网关要求合作伙伴系统提供由内部 CA 签发的客户端证书。
● 常见问题
双向 TLS(mTLS) 是什么?
TLS 的扩展模式,客户端和服务器都出示 X.509 证书,从而以加密方式相互认证对方身份。 它属于网络安全的 网络安全 分类。
双向 TLS(mTLS) 是什么意思?
TLS 的扩展模式,客户端和服务器都出示 X.509 证书,从而以加密方式相互认证对方身份。
如何防御 双向 TLS(mTLS)?
针对 双向 TLS(mTLS) 的防御通常结合技术控制与运营实践,详见上方完整定义。
双向 TLS(mTLS) 还有哪些其他名称?
常见的别称包括: 双向 TLS, 客户端认证 TLS。