Autenticação mTLS

Conheça mais sobre o protocolo mTLS

O que é o protocolo mútuo TLS (mTLS)?

O TLS mútuo, ou mTLS, é um protocolo de autenticação bilateral. Ao validar que ambas as partes (servidor e cliente) possuem a correta chave privada, mTLS assegura que ambos os lados de sejam quem afirmam ser. Uma verificação adicional é provida pela informação que consta em seus respectivos certificados TLS.

A autenticação mTLS é frequentemente usada em estruturas de segurança Zero Trust para verificar usuários, dispositivos, e servidores dentro uma dada organização. Ele pode também nos ajudar a manter as APIs mais seguras.

Importante: Zero Trust significa que nenhum usuário, dispositivo, ou tráfego de rede é confiável por padrão, uma abordagem que ajuda a eliminar muitas vulnerabilidades de segurança recorrentes.

O que é TLS?

TLS (Camada de Transporte de Segurança) é um sistema de encriptação comumente usado na ‘internet’. O TLS, anteriormente conhecido como SSL, autentica o servidor em uma conexão cliente-servidor e encripta a comunicação entre o cliente e o servidor mutuamente, evitando escuta por terceiros.

Existem três pontos principais a se destacar sobre como TLS funciona:

1. Chave pública e privada

TLS emprega um método conhecido como encriptação de chave pública, que se baseia em um par de chaves — uma pública e uma privada.

  • Qualquer ação encriptada com uma chave pública pode ser decriptada apenas com uma chave privada.

  • Por outro lado, qualquer ação encriptada com uma chave privada, apenas pode ser decriptada com uma chave pública.

Em resultado, um servidor que decripta uma mensagem encriptada com uma chave pública demonstra que ela possui a correspondente chave privada. Qualquer um pode constatar a chave pública ao recorrer ao certificado TLS para o domínio ou servidor em questão.

2. O Certificado TLS

Um certificado TLS é um arquivo de dados que inclui a já mencionada chave pública, uma declaração por parte de quem emitiu o certificado (os certificados TLS são sempre emitidos por uma autoridade certificadora), e a data de expiração do certificado, bem como a identidade do servidor ou do dispositivo.

3. O aperto de mão (handshake) TLS

O aperto de mão TLS é um procedimento para se verificar o certificado TLS, bem como confirmar se o servidor possui a chave privada (ou não). O aperto de mão TLS, também determinará como a encriptação será efetuada dado que o aperto de mão esteja completo.

Como utilizar mTLS na Digibee Integration Platform?

A Digibee Integration Platform permite o consumo e publicação de APIs que utilizem o protocolo mTLS para identificar clientes e servidores (através de certificados TLS).

Este artigo trata da publicação de APIs com mTLS habilitado. Para configurar e utilizar mTLS em suas APIs, siga os passos abaixo:

Configuração do mTLS

A funcionalidade mTLS requer instalação de infraestrutura de validação dos certificados. Portanto, não está automaticamente disponível para todos os realms, pois o cliente precisa cadastrar um certificado utilizando um Account e informar ao time de Suporte qual é o nome do Account (Conta) criado para que o time de Operações da Digibee realize a sua instalação.

A Digibee não fornece os certificados, por segurança o certificados deverão ser emitidos, fornecidos e gerenciados pelo próprio cliente.

A Digibee criará novos endpoints, diferente do endpoint padrão. Durante a configuração, será informado os novos endpoints com mTLS. Os endpoints MTLS são exclusivos para acesso à Internet e não são acessíveis via VPN.

Utilização do mTLS

Para publicar APIs que utilizam mTLS como protocolo de autenticação bi-direcional, utilize Triggers REST, HTTP ou HTTP File.

Estes realms possuem uma configuração para habilitar o uso do mTLS (que funcionará apenas após a configuração do mTLS no realm).

Por que usar o mTLS?

O mTLS nos permite assegurar que o tráfego entre um cliente e um servidor seja seguro e confiável em ambos os lados. Para usuários que estão continuamente logando em uma rede ou aplicativos de uma organização, isso acrescenta um grau extra de proteção Ele também verifica conexões com dispositivos de clientes que não requeiram um “login”, tais como dispositivos usados pela Internet de Coisas (IoT).

Basicamente, mTLS previne várias categorias de ataques, incluindo: On-path attacks, Spoofing attacks, Credential stuffing, Brute force attacks, Phishing attacks, Malicious API requests.

Atualizado