Was ist mTLS?

mTLS ist eine Methode zur gegenseitigen Authentifizierung über Netzwerkverbindungen. Die Abkürzung mTLS steht dabei für “mutual TLS”. mTLS stellt bei Netzwerkverbindungen an beiden Enden die Authentizität und Integrität der Verbindungsparteien über X.509-Zertifikate sicher. Technologisch baut die Methode auf dem Verschlüsselungsprotokoll TLS (Transport Layer Security) auf.

Auf einen Blick

  1. 1. mTLS: Eine Definition
    1. 2. Wie funktioniert mTLS?
      1. 3. Wie werden die Zertifikate bereitgestellt?
        1. 4. Wo wird mTLS eingesetzt?
          1. 5. mTLS: Das müssen Sie wissen

            01

            mTLS: Eine Definition

            Dank mTLS ist der Traffic zwischen Client und Server in beide Richtungen authentifiziert – das schafft Vertrauen und Sicherheit. Um die Integrität der Verbindungsparteien sicherzustellen, werden X.509-Zertifikate zur gegenseitigen Authentifizierung eingesetzt. Dieser erweiterte TLS-Handshake wird standardmäßig von TLS unterstützt und eignet sich insbesondere für Zero-Trust-Umgebungen oder für die abgesicherte Kommunikation mit IoT-Geräten oder APIs. 

            02

            Wie funktioniert mTLS? 

            Bei üblichen TLS-Verbindungen, die etwa zur Absicherung des Online-Banking eingesetzt werden, verfügt ausschließlich der Server über ein Schlüsselpaar bestehend aus Public und Private Key. Der Client verifiziert lediglich das TLS-Zertifikat des Servers, um über die verschlüsselte Verbindung Daten auszutauschen.

            Verbindungsaufbau via TLS

            1. Der Client baut eine Verbindung zum Server auf

            2. Der Server zeigt sein TLS-Zertifikat vor

            3. Das Zertifikat des Servers wird vom Client verifiziert

            4. Verschlüsselter Datenaustausch zwischen Client und Server

            Bei mTLS-Verbindungen verfügen hingegen Server UND Client über ein kryptografisches Schlüsselpaar zur gegenseitigen Authentifizierung. Für den Verbindungsaufbau sind daher zusätzliche Schritte notwendig. So muss nun auch der Client sein Zertifikat vorlegen, das wiederum durch den Server verifiziert wird. Sobald die Verifikation auf beiden Seiten erfolgreich war, kann über die mTLS-Verbindung ein Datenaustausch zwischen Client und Server erfolgen.

            Verbindungsaufbau via mTLS

            1. Der Client baut eine Verbindung zum Server auf

            2. Der Server zeigt sein TLS-Zertifikat vor

            3. Das Zertifikat des Servers wird vom Client verifiziert

            4. Der Client zeigt sein TLS-Zertifikat dem Server vor

            5. Der Server verifiziert das TLS-Zertifikat des Clients

            6. Client erhält bei erfolgreicher Verifizierung Zugang zum Server

            7. Verschlüsselter Datenaustausch zwischen Client und Server

            03

            Wie werden die Zertifikate bereitgestellt?

            Die zur gegenseitigen Authentifizierung erforderlichen Zertifikate werden von einer zentralen Certificate Authority (CA) bereitgestellt, die in einem solchen Enterprise-Kontext meist vom jeweiligen Unternehmen selbst betrieben wird. Hierfür benötigt die Firma ein „Root“-TLS-Zertifikat. Im Gegensatz zu herkömmlichen TLS-Verbindungen, wie sie im freien Internet gebräuchlich sind, ist hier also keine externe Zertifizierungsstelle erforderlich – das Stammzertifikat kann das Unternehmen selbst erstellen.

            04

            Wo wird mTLS eingesetzt?

            In aller Regel kommt mTLS immer dann zum Einsatz, wenn Zugänge zu Unternehmensnetzwerken und kritischen Anwendungen mit einer zusätzlichen Sicherheitsebene abgesichert werden sollen. Mit mTLS lässt sich in solchen Szenarien sicherstellen, dass nur Clients, die über das erforderliche Zertifikat verfügen, überhaupt eine Verbindung aufbauen können. Dadurch sind die dahinterliegenden Zugänge stärker abgesichert als durch herkömmliche Sicherheitsmechanismen wie passwortgeschützte Konten. Gängige Angriffsmethoden wie Credential Stuffing, Credential Cracking, Brute Force und auch Phishing laufen bei mTLS-gesicherten Seiten ins Leere, solange die Angreifer nicht über die jeweiligen Zertifikate für den Client verfügen. Aufgrund des zusätzlichen Aufwands, der durch die Zertifikatsverwaltung zwangsläufig anfällt, eignet sich mTLS allerdings nur, wenn kritische Ressourcen einem kleinen/beschränkten User-Kreis zur Verfügung gestellt werden sollen. Für öffentliche Websites im freien Internet ist mTLS hingegen keine Option.

            05

            mTLS: Das müssen Sie wissen

            Als mTLS bezeichnet man eine Methode zur gegenseitigen Authentifizierung von Netzwerkverbindungen über X.509-Zertifikate. Im Gegensatz zur herkömmlichen Absicherung via TLS sendet bei mTLS auch der Client ein Zertifikat aus, das wiederum vom Server verifiziert werden muss. Es erfolgt also eine zusätzliche Authentifizierung für den Client/Besucher der jeweiligen Website. Erst wenn die Zertifikate sowohl von Client als auch Server erfolgreich überprüft wurden, kann eine verschlüsselte Datenverbindung via mTLS aufgebaut werden. Durch diese zusätzliche Schutzebene sind Inhalte, die mittels mTLS abgesichert wurden, gegen eine Reihe schädlicher Angriffsarten geschützt, darunter Credential Stuffing, Credential Cracking, Brute Force oder Phishing. In der Praxis eignet sich mTLS beispielsweise besonders für sensible Webinhalte, die für einen fest definierten Personenkreis vorgesehen sind. Da die Methode einen nicht unerheblichen Aufwand durch die Zertifikatsverwaltung birgt, sind Einsatzszenarien für öffentliche Websites nicht praktikabel.

            Die Security-as-a-Service-Lösungen von Myra unterstützen den Einsatz von Client-Zertifikaten mittels mTLS. Kunden haben damit die Möglichkeit, besonders kritische Webinhalte mit einer zusätzlichen Schutzschicht abzusichern.

            © Myra Security GmbH 2023, alle Rechte vorbehalten

            Responsible DisclosureGlossarImpressumDatenschutzAGB