mTLS
O que você irá aprender neste artigo:
- O que é TLS
- O que é TLS mútuo (mTLS)
- Como funciona o mTLS
- Por que usar o mTLS
- Como funciona o mTLS na Celcoin
- Como solicitar migração
O que é TLS?
Transport Layer Security (TLS) é um protocolo de criptografia muito usado na internet. O TLS, antes chamado de SSL, autentica o servidor em uma conexão cliente-servidor e criptografa as comunicações entre cliente e servidor, para que as partes externas não possam espionar as comunicações.
O que é TLS mútuo (mTLS)?
O TLS mútuo, ou mTLS, é um método para autenticação mútua. O mTLS assegura que as partes em cada extremidade de uma conexão de rede são de fato quem afirmam ser, verificando que ambas têm a chave privada correta. As informações dentro de seus respectivos certificados TLS fornecem verificação adicional.
O mTLS é frequentemente usado em uma estrutura de segurança Zero Trust para verificar usuários, dispositivos e servidores dentro de uma organização. Também pode ajudar a manter as APIs seguras.
Zero Trust significa que nenhum usuário, dispositivo ou tráfego de rede é confiável por padrão, criando uma abordagem que ajuda a eliminar muitas vulnerabilidades de segurança.
Como funciona o mTLS?
Em TLS, geralmente o servidor tem um certificado TLS e um par de chaves pública/privada. No entanto, o cliente não tem.
O processo típico do TLS funciona assim:
No mTLS, por outro lado, tanto o cliente quanto o servidor têm um certificado e ambos os lados realizam a autenticação usando seu par de chaves pública/privada. Em comparação ao TLS normal, existem etapas adicionais no mTLS para verificar ambas as partes.
A organização que implementa o mTLS atua como sua própria autoridade de certificação. Isso contrasta com o TLS padrão, no qual a autoridade de certificação é uma organização externa que verifica se o proprietário do certificado possui legitimamente o domínio associado.
Para isso, um certificado TLS "raiz" conhecido pelas partes é necessário para o mTLS e os certificados usados por clientes e servidores autorizados devem corresponder a esse certificado raiz.
O certificado raiz é auto-assinado, o que significa que a própria organização o cria. Essa abordagem não funciona para o TLS unidirecional na internet pública, já que neste caso uma autoridade de certificação externa precisa emitir esses certificados. Para os casos de uso da Celcoin, será utilizado um certificado raiz próprio.
Por que usar o mTLS?
O mTLS ajuda a garantir que o tráfego entre um cliente e um servidor seja seguro e confiável em ambas as direções. Ele proporciona uma camada adicional de segurança para os usuários que fazem login na rede ou nos aplicativos de uma organização, além de verificar conexões com dispositivos de clientes que não seguem um processo de login.
O mTLS evita vários tipos de ataques, incluindo:
Ataques de invasores intermediários: esses tipos de ataques se colocam entre um cliente e um servidor, interceptando ou modificando as comunicações entre os dois. Quando o mTLS é usado, os invasores intermediários não podem autenticar nem o cliente, nem o servidor, tornando este ataque quase impossível de ser realizado.
Ataques de falsificação: os invasores podem tentar falsificar/imitar um servidor web para um usuário, ou vice-versa. Ataques de falsificação são muito mais difíceis quando ambos os lados necessitam autenticar com certificados TLS.
Preenchimento de credenciais: os invasores usam conjuntos de credenciais vazados de uma violação de dados para tentarem entrar como um usuário legítimo. Sem um certificado TLS emitido legitimamente, os ataques de preenchimento de credenciais não podem ser bem-sucedidos contra organizações que usam mTLS.
Ataques com força bruta: normalmente são realizados com bots. Um ataque com força bruta acontece quando um invasor usa estratégia de "tentativa e erro" de forma rápida para adivinhar a senha de um usuário. O mTLS garante que uma senha não é suficiente para obter acesso à rede de uma organização.
Um dos principais valores atribuídos ao uso do mTLS é que, sempre que sua aplicação precise realizar uma alteração em seu IP, não há necessidade de comunicá-la à Celcoin, pois todo o processo de comunicação ocorre através da validação dos certificados. Sem que avaliemos o IP, são evitadas possíveis quebras no processo de integração entre os sistemas.
Como funciona o mTLS na Celcoin?
Cada cliente deve integrar o certificado aos pedidos HTTP/S na comunicação entre o cliente e o serviço de API da Celcoin. Para facilitar o entendimento, colocamos aqui um exemplo do pedido de autenticação à Celcoin API v5 no formato cURL:
curl -v --cert certificado.crt --key chave.key https://apicorp.celcoin.com.br/v5/token
Como eu faço para realizar a solicitação do certificado e migrar para a mTLS com a Celcoin?
Para realizar esse procedimento, entre em contato com a nossa equipe de suporte (clique aqui) e nos envie os seguintes dados:
- Domínio (Common Name);
- Endereço de e-mail para o envio do certificado.
Updated 3 months ago