TLS en zijn voorganger, SSL, zijn cryptografische protocollen om communicatiebeveiliging (vertrouwelijkheid en integriteit in sommige gevallen en onweerlegbaarheid in andere gevallen) over een netwerk te bieden.
In eenrichtings-TLS, of gewone TLS, wordt het X.509-servercertificaat aangemaakt door een CA die de client kan vertrouwen wanneer hij verbinding wil maken. De Public Key Infrastructure (PKI) is verantwoordelijk voor het beheer van het vertrouwen en de distributie van het certificaat (de certificaten). Certificaatautoriteiten (CA’s) spelen een zeer belangrijke rol in PKI. Een X.509-certificaat is niets anders dan informatie over de server en de openbare sleutel van de server die digitaal is ondertekend door een CA.
Een server kan worden geconfigureerd om verbindingen van elke client toe te staan (zoals in eenrichtings-TLS) of hij kan worden geconfigureerd om elke client die probeert verbinding te maken, te vragen zich te authenticeren. Dus, om een client te authenticeren, is een client certificaat nodig. Bij tweeweg TLS-authenticatie, ook bekend als TLS met clientcertificaat-authenticatie, is naast het servercertificaat ook een clientcertificaat nodig om het authenticatieproces te versterken. Net als een servercertificaat bevat een clientcertificaat basisinformatie over de identiteit van de client, zijn publieke sleutel en de digitale handtekening van een CA op dit certificaat verifieert dat deze informatie authentiek is. Het client certificaat moet worden ondertekend door een CA die de server vertrouwt en het ligt voor de hand dat beide X.509 certificaten moeten bestaan voordat de verbinding tot stand komt!
Eén manier waarop TLS veilig genoeg is is wanneer je het gebruikt met Authenticatie, iets waar je mee te maken krijgt wanneer je wilt inloggen op Gmail. Wanneer je de Gmail web interface gebruikt, gebruik je one-way TLS via een browser https mogelijkheid in aanvulling op je wachtwoord. Als u uw wachtwoord niet gebruikt, kunt alleen u verifiëren dat u bent verbonden met een legitieme server, maar de Gmail-server kan uw identiteit niet verifiëren, zodat we niet kunnen zeggen dat de verbinding veilig is. Als Gmail een tweeweg TLS verbinding aanbiedt, kunt u gemakkelijk verbinding maken zonder uw wachtwoord in te voeren en wordt de verbinding als veilig beschouwd.
De belangrijkste bedoeling om een tweeweg TLS verbinding te gebruiken zou zijn wanneer een server alleen TLS verbindingen zou moeten accepteren van een beperkte groep toegestane clients. Een voorbeeld kan een scenario zijn waar een organisatie TLS-verbindingen naar een server wil beperken om alleen afkomstig te zijn van de legitieme partners of klanten van de organisatie. Het absoluut “whitelisten” van IP’s voor clients is geen goede beveiligingspraktijk, omdat de IP’s kunnen worden “gespoofed”.
Om het proces van tweeweg TLS-handshake te vereenvoudigen, kunnen we zeggen
- Een client stuurt een verzoek om toegang tot beschermde informatie op de server.
2. De server presenteert zijn X.509 certificaat aan de client.
3. De client verifieert het certificaat van de server door de digitale handtekening van de openbare sleutel van de server te valideren met behulp van de openbare sleutel van de CA.
4. Als de laatste stap succesvol is, verzendt de client zijn certificaat naar de server.
5. De server verifieert het certificaat van de client met dezelfde aanpak als in stap 3.
6. Als dat lukt, geeft de server de client toegang tot de beschermde informatie.
Als u een Apache-webserver moet configureren voor tweerichtings-TLS, raadpleegt u dit document: http://www.robinhowlett.com/blog/2016/01/05/everything-you-ever-wanted-to-know-about-ssl-but-were-afraid-to-ask/