CLIENTcertkeySERVERcertkeyclient certserver certboth sides authenticated cryptographically

म्युचुअल टीएलएस (एमटीएलएस)

11 मिनट पढ़ाक्रिप्टोग्राफी

मानक HTTPS क्लाइंट के लिए सर्वर को प्रमाणित करता है - ब्राउज़र सर्वर के प्रमाणपत्र को सत्यापित करता है। म्यूचुअल टीएलएस इसके विपरीत जोड़ता है: क्लाइंट एक प्रमाणपत्र भी प्रस्तुत करता है, जिसे सर्वर सत्यापित करता है। परिणाम कनेक्शन के दोनों पक्षों के लिए क्रिप्टोग्राफ़िक रूप से प्रमाणित पहचान है। आधुनिक आर्किटेक्चर में सर्विस-टू-सर्विस प्रमाणीकरण के लिए एमटीएलएस तेजी से मानक बन रहा है।

संपूर्ण लेख का मुख्य भाग नीचे अंग्रेजी में दिया गया है।

म्यूचुअल टीएलएस (एमटीएलएस) क्लाइंट को एक प्रमाणपत्र प्रस्तुत करने की आवश्यकता के द्वारा मानक टीएलएस का विस्तार करता है जिसे सर्वर सत्यापित करता है। हाथ मिलाना दोनों पक्षों द्वारा एक-दूसरे को क्रिप्टोग्राफ़िक रूप से प्रमाणित करने के साथ पूरा होता है। पासवर्ड या टोकन-आधारित प्रमाणीकरण की तुलना में, एमटीएलएस मजबूत पहचान की गारंटी, प्रमाणपत्र जीवन चक्र के माध्यम से स्वचालित क्रेडेंशियल रोटेशन और साझा-गुप्त वितरण समस्याओं को खत्म करने की पेशकश करता है। सर्वर क्लाइंट को क्रिप्टोग्राफ़िक रूप से प्रमाणित नहीं करता है - यह एप्लिकेशन-लेयर मैकेनिज्म (कुकीज़, बियरर टोकन, बेसिक ऑथ) पर निर्भर करता है।

mTLS में सर्वर TLS हैंडशेक के दौरान एक सर्टिफिकेट रिक्वेस्ट जोड़ता है। ग्राहक को अपने स्वयं के प्रमाणपत्र और निजी कुंजी के कब्जे को साबित करने वाले हस्ताक्षर के साथ जवाब देना होगा। सर्वर अपने स्वयं के ट्रस्ट स्टोर के विरुद्ध क्लाइंट प्रमाणपत्र का सत्यापन करता है। यदि सत्यापन विफल हो जाता है, तो कनेक्शन बंद हो जाता है। प्रत्येक माइक्रोसर्विस के पास उसकी पहचान बताने वाला एक प्रमाणपत्र होता है; जाल यह लागू करता है कि कौन किसे कॉल कर सकता है।

  • API गेटवे। मजबूत पहचान, अल्पकालिक प्रमाणपत्रों के माध्यम से स्वचालित रोटेशन।
  • VPN और जीरो ट्रस्ट उत्पाद। mTLS.
  • IoT. प्रति-डिवाइस प्रमाणपत्र बेड़े प्रबंधन के लिए पहचान स्थापित करते हैं। AWS IoT, Azure IoT हब, Google क्लाउड IoT सभी mTLS.
  • WebHooks और B2B एकीकरण का उपयोग करते हैं। टोकन
    • कोई साझा रहस्य नहीं। प्रत्येक पक्ष के पास केवल अपनी निजी कुंजी होती है। एक पक्ष के भंडारण से समझौता दूसरे को उजागर नहीं करता है।
    • मजबूत पहचान। समझौता.
    • कोई पासवर्ड पुन: उपयोग नहीं. प्रत्येक सेवा का अपना प्रमाणपत्र होता है; सभी सेवाओं में पासवर्ड के पुन: उपयोग की कोई अवधारणा नहीं है।
    • कोई रिप्ले नहीं। हैंडशेक.

    प्रमाणपत्र कैसे जारी किए जाते हैं

    mTLS परिनियोजन कहानी प्रमाणपत्र जारी करने के इर्द-गिर्द घूमती है: प्रत्येक सेवा या ग्राहक को उस सीए द्वारा जारी एक प्रमाणपत्र मिलता है। विश्वास आंतरिक है। यूआरआई-शैली पहचानकर्ताओं द्वारा पहचाने गए कार्यभार के लिए अल्पकालिक प्रमाणपत्र जारी करता है। सर्विस मेश इस पैटर्न का उपयोग करते हैं। परिचालन जटिलता को कम करता है।

  • सार्वजनिक CAs।ul>
  • प्रमाणपत्र प्रबंधन. प्रत्येक ग्राहक को प्रमाणपत्र की आवश्यकता होती है, जारी किया जाता है, घुमाया जाता है, आवश्यकता पड़ने पर निरस्त किया जाता है। PKI महत्वपूर्ण बुनियादी ढाँचा बन जाता है। उपकरण और अवलोकनीयता मायने रखती है।
  • Library समर्थन। वेब संदर्भों में एमटीएलएस ब्राउज़र-टू-सर्वर की तुलना में सर्वर-टू-सर्वर अधिक सामान्य है। सेवा मेश में

    • mTLS

    हेडलाइन आधुनिक उपयोग का मामला। इस्तियो की तरह एक सेवा जाल:

    1. प्रत्येक सेवा को एक कार्यभार पहचान (SPIFFE ID) मिलती है।
    2. जाल का नियंत्रण विमान अल्पकालिक प्रमाणपत्र जारी करता है (आमतौर पर कुछ घंटों के लिए वैध)। साइडकार इसे नेटवर्क निकास के लिए एमटीएलएस में लपेटता है। बिना किसी कोड परिवर्तन के. मेश सभी प्रमाणपत्र और क्रिप्टो परिचालन जटिलता को संभालता है। एपीआई के लिए

      mTLS बनाम OAuth/OIDC

      Tदो अलग-अलग प्रमाणीकरण मॉडल:

      • OAuth/OIDC - बियरर-टोकन-आधारित। टोकन में पहचान के दावे शामिल हैं। यदि क्लाइंट से बंधे नहीं हैं तो टोकन को बाहर निकाला जा सकता है और दोबारा चलाया जा सकता है।
      • mTLS - प्रमाणपत्र-आधारित। निजी कुंजी के बिना प्रमाणपत्र अकेले बेकार है। मजबूत पहचान की गारंटी।

      आंतरिक सेवा-से-सेवा प्रमाणीकरण के लिए, एमटीएलएस को तेजी से प्राथमिकता दी जा रही है। उपयोगकर्ता-सामना प्रमाणीकरण के लिए, OAuth/OIDC मानक बना हुआ है। हाइब्रिड दृष्टिकोण (टोकन बाइंडिंग के साथ OAuth, mTLS-बाउंड OAuth टोकन) शक्तियों को जोड़ते हैं। डेवलपर्स के लिए

      आपके स्टैक में mTLS जोड़ने में शामिल हैं: क्लाइंट और सर्वर के लिए प्रमाणपत्र

    3. क्लाइंट प्रमाणपत्र की आवश्यकता के लिए सर्वर कॉन्फ़िगर करना एमटीएलएस अब छोटी टीमों के लिए परिचालन रूप से संभव है; यह पहले बड़े पैमाने पर समर्पित सुरक्षा बुनियादी ढांचे वाले उद्यमों का डोमेन था।

    अक्सर पूछे जाने वाले प्रश्नों

    क्या एमटीएलएस मेरे आवेदन के लिए जरूरत से ज्यादा है?
    परिदृश्य पर निर्भर करता है. उपयोगकर्ता-सामना वाले वेब ऐप्स के लिए, OAuth/OIDC आमतौर पर सही होता है। माइक्रोसर्विसेज में आंतरिक एपीआई और सर्विस-टू-सर्विस ट्रैफिक के लिए, एमटीएलएस मानक बन रहा है। उच्च-सुरक्षा B2B एकीकरण के लिए, mTLS अक्सर सही उत्तर होता है।
    एमटीएलएस और टीएलएस क्लाइंट ऑथ के बीच क्या अंतर है?
    एक ही चीज़, अलग-अलग नाम. टीएलएस क्लाइंट प्रमाणीकरण प्रोटोकॉल सुविधा है; एमटीएलएस इसका उपयोग करने के लिए सामान्य शब्द है। वे उसी तंत्र का उल्लेख करते हैं।
    क्या ब्राउज़र एमटीएलएस का समर्थन करते हैं?
    हाँ - जब कोई सर्वर क्लाइंट प्रमाणपत्र का अनुरोध करता है तो वे उपयोगकर्ता को संकेत देते हैं। यूएक्स ख़राब है; उपयोगकर्ताओं को यह भ्रमित करने वाला लगता है। ब्राउज़रों में एमटीएलएस काम करता है लेकिन उपभोक्ता अनुप्रयोगों के लिए दुर्लभ है। कर्मचारी द्वारा जारी डिवाइस प्रमाणपत्र वाले एंटरप्राइज़ एप्लिकेशन इसका अधिक सामान्यतः उपयोग करते हैं।
    एमटीएलएस प्रमाणपत्र का जीवनकाल कितना छोटा होना चाहिए?
    सेवा जाल में कार्यभार की पहचान के लिए, घंटों से लेकर दिनों तक का समय सामान्य है। घूर्णन स्वचालित है; छोटी जीवनकाल सीमाएँ प्रभाव से समझौता करती हैं। लंबे समय से चल रही B2B पहचान के लिए, दिनों से लेकर हफ्तों तक। सार्वजनिक सीए द्वारा जारी प्रमाणपत्र लंबे चक्र (वर्तमान में 397 दिन तक) का पालन करते हैं।
    क्या मैं एमटीएलएस प्रमाणपत्र रद्द कर सकता हूँ?
    हां, सीआरएल (प्रमाणपत्र निरस्तीकरण सूची) या ओसीएसपी (ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल) के माध्यम से। अल्पकालिक प्रमाणपत्र आंशिक रूप से आवश्यकता को पूरा करते हैं - जब प्रमाणपत्र वैसे भी घंटों में समाप्त हो जाता है तो निरस्तीकरण का मामला कम होता है। अधिकांश आधुनिक एमटीएलएस परिनियोजन सक्रिय निरसन के बजाय छोटे जीवनकाल पर निर्भर करते हैं।
    म्युचुअल टीएलएस (एमटीएलएस) की व्याख्या: जब ग्राहक के पास प्रमाणपत्र भी हो