TLS și predecesorul său, SSL, sunt protocoale criptografice pentru a asigura securitatea comunicațiilor (confidențialitate și integritate în unele cazuri și non-repudiere în alte cazuri) într-o rețea.
În TLS unidirecțional, sau TLS obișnuit, certificatul X.509 al serverului este creat de o CA în care clientul poate avea încredere atunci când dorește să se conecteze. Infrastructura de chei publice (Public Key Infrastructure – PKI) este responsabilă de gestionarea încrederii și de distribuirea certificatului (certificatelor). Autoritățile de certificare (Certificate Authorities – CA) joacă un rol foarte important în PKI. Un certificat X.509 nu este altceva decât niște informații despre server și cheia publică a serverului care este semnată digital de o CA.
Un server poate fi configurat să permită conexiuni de la orice client (ca în cazul TLS unidirecțional) sau poate fi configurat să ceară autentificarea oricărui client care încearcă să se conecteze la el. Așadar, pentru ca un client să se autentifice, implică un certificat de client. În autentificarea TLS bidirecțională, cunoscută și sub numele de TLS cu autentificare prin certificat de client, certificatul clientului este, de asemenea, implicat pe lângă certificatul serverului pentru întărirea procesului de autentificare. La fel ca un certificat de server, un certificat de client conține informații de bază despre identitatea clientului, cheia publică a acestuia, iar semnătura digitală a unei autorități de certificare pe acest certificat verifică autenticitatea acestor informații. Certificatul clientului ar trebui să fie semnat de o CA în care serverul are încredere și este evident că ambele certificate X.509 ar trebui să existe înainte de conectare!
Un mod în care TLS este suficient de sigur atunci când îl folosiți cu Autentificare, lucru cu care vă confruntați atunci când doriți să vă conectați la Gmail. Atunci când utilizați interfața web a Gmail, utilizați TLS unidirecțional prin intermediul unei capacități https a browserului, în plus față de parola dumneavoastră. Dacă nu folosiți parola, doar dumneavoastră puteți verifica dacă ați fost conectat la un server legitim, dar serverul Gmail nu vă poate verifica identitatea, astfel încât nu putem spune că conexiunea este sigură. Dacă Gmail oferă o conexiune TLS bidirecțională, vă puteți conecta cu ușurință fără a introduce parola, iar conexiunea este considerată sigură.
Intenția principală de a utiliza o conexiune TLS bidirecțională ar fi atunci când un server ar trebui să accepte doar conexiuni TLS de la un grup limitat de clienți autorizați. Un exemplu poate fi un scenariu în care o organizație dorește să limiteze conexiunile TLS către un server să provină doar de la partenerii sau clienții legitimi ai organizației. Categoric, lista albă de IP-uri pentru clienți nu este o bună practică de securitate, deoarece IP-ul poate fi falsificat.
Pentru a simplifica procesul de handshake TLS cu 2 căi, putem spune
- Un client trimite o cerere de acces la informații protejate pe server.
2. Serverul își prezintă X.509 clientului.
3. Clientul verifică certificatul serverului prin validarea semnăturii digitale a cheii publice a serverului cu ajutorul cheii publice a AC.
4. Dacă ultima etapă are succes, clientul trimite certificatul său către server.
5. Serverul verifică certificatul clientului folosind aceeași abordare din pasul 3.
6. Dacă are succes, serverul oferă clientului acces la informațiile protejate.
Dacă trebuie să configurați un server web Apache pentru a gestiona TLS bidirecțional, consultați acest document: http://www.robinhowlett.com/blog/2016/01/05/everything-you-ever-wanted-to-know-about-ssl-but-were-afraid-to-ask/