Открыть сервис

Mutual TLS

Mutual TLS (mTLS, двусторонняя аутентификация TLS) — это протокол безопасности, расширяющий стандартный протокол Transport Layer Security (TLS), в котором обе стороны соединения (клиент и сервер) взаимно подтверждают свою подлинность с помощью цифровых сертификатов. В отличие от обычного TLS, где сертификат предъявляет только сервер, mTLS требует от клиента также предоставить сертификат, удостоверяющий его личность, что обеспечивает более высокий уровень доверия и защиты от несанкционированного доступа.

Принцип работы

Протокол mTLS основан на стандартном процессе рукопожатия TLS, но с дополнительным шагом аутентификации клиента. Взаимодействие происходит в несколько этапов:

  1. Инициализация соединения. Клиент отправляет запрос на установление защищённого канала связи с сервером.
  2. Предъявление серверного сертификата. Сервер отправляет клиенту свой цифровой сертификат, подписанный доверенным центром сертификации (CA).
  3. Проверка серверного сертификата. Клиент проверяет подлинность сертификата сервера: срок действия, цепочку доверия до корневого CA, отсутствие в списке отзыва (CRL) или проверку через OCSP.
  4. Запрос клиентского сертификата. Сервер отправляет клиенту запрос (CertificateRequest) на предоставление собственного сертификата.
  5. Предъявление клиентского сертификата. Клиент отправляет серверу свой сертификат.
  6. Проверка клиентского сертификата. Сервер проверяет подлинность клиентского сертификата аналогичным образом: срок действия, цепочку доверия, статус отзыва.
  7. Выработка сессионного ключа. После успешной взаимной аутентификации обе стороны генерируют общий сессионный ключ для шифрования дальнейшего обмена данными.

Отличия от стандартного TLS

Основное различие между TLS и mTLS заключается в направлении аутентификации:

ПараметрTLS (односторонний)Mutual TLS (двусторонний)
Аутентификация сервераДаДа
Аутентификация клиентаНет (опционально)Обязательно
Использование сертификатовТолько серверныйСерверный и клиентский
Уровень безопасностиСреднийВысокий
Сложность настройкиНизкаяСредняя

Применение

Микросервисная архитектура

mTLS широко используется в микросервисных системах (например, в среде Kubernetes с сервисной сетью Istio или Linkerd) для обеспечения безопасного обмена данными между внутренними сервисами. Каждый микросервис получает собственный сертификат, что позволяет проверять подлинность всех участников коммуникации без использования внешних систем аутентификации.

API-шлюзы и межсерверное взаимодействие

При организации защищённого обмена данными между серверами (server-to-server) mTLS гарантирует, что запросы поступают только от доверенных клиентов. Это особенно актуально для финансовых учреждений, государственных информационных систем и операторов критической инфраструктуры.

Интернет вещей (IoT)

В системах IoT mTLS применяется для аутентификации устройств при подключении к облачным платформам. Каждое устройство получает уникальный сертификат, что предотвращает подмену устройства и несанкционированный доступ к данным.

Банковские и платёжные системы

В финансовом секторе mTLS используется для защиты каналов передачи платёжных данных (например, в протоколах ISO 8583, SWIFT, а также в API российских платёжных систем, таких как СБП). Двусторонняя аутентификация обязательна при обмене конфиденциальной информацией между банками и процессинговыми центрами.

Реализация в российских информационных системах

В Российской Федерации применение mTLS регулируется требованиями к защите информации, установленными Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и Федеральной службой безопасности (ФСБ России). Для использования в государственных информационных системах (ГИС) и системах, обрабатывающих персональные данные, необходимо применять сертификаты, выпущенные аккредитованными удостоверяющими центрами, входящими в российскую национальную инфраструктуру PKI (например, Минцифры России, ФНС России, Сбербанк). При этом используются российские криптографические алгоритмы по ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.

Преимущества и недостатки

Преимущества

  • Высокая степень защиты. Взаимная аутентификация исключает возможность атак типа «человек посередине» (MITM) и подмены клиента.
  • Отсутствие необходимости в паролях. Сертификаты заменяют логины и пароли, что снижает риски утечки учётных данных.
  • Масштабируемость. Управление сертификатами можно автоматизировать с помощью PKI-инфраструктуры.
  • Прозрачность для приложений. mTLS работает на транспортном уровне, не требуя изменений в коде приложений.

Недостатки

  • Сложность управления сертификатами. Требуется инфраструктура для выпуска, обновления и отзыва сертификатов.
  • Производительность. Дополнительные шаги рукопожатия увеличивают задержку при установлении соединения.
  • Совместимость. Не все клиенты и библиотеки поддерживают mTLS, особенно в устаревших системах.
  • Стоимость. Развёртывание и поддержка PKI-инфраструктуры требуют финансовых и организационных затрат.

Инструменты и технологии

Для реализации mTLS используются различные программные средства и библиотеки:

  • OpenSSL — базовая библиотека для работы с TLS/SSL, поддерживает mTLS.
  • Kubernetes — встроенная поддержка mTLS через сервисные сети (Istio, Linkerd, Consul).
  • Nginx — настройка mTLS через директивы ssl_client_certificate и ssl_verify_client.
  • Apache HTTP Server — поддержка mTLS через модуль mod_ssl.
  • Envoy Proxyпрокси-сервер с поддержкой mTLS, часто используется в микросервисных архитектурах.
  • Hashicorp Vault — система управления секретами, поддерживает выпуск и управление сертификатами для mTLS.

Источники

  • RFC 5246 — The Transport Layer Security (TLS) Protocol Version 1.2
  • RFC 8446 — The Transport Layer Security (TLS) Protocol Version 1.3
  • ГОСТ Р 34.10-2012 — Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи
  • ГОСТ Р 34.11-2012 — Информационная технология. Криптографическая защита информации. Функция хэширования
  • Документация OpenSSL — «SSL/TLS Client Certificate Authentication»
  • Документация Kubernetes — «Authenticating with mTLS»
  • Материалы ФСТЭК России — «Методические документы по защите информации»

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →