Was ist mTLS?

mTLS ist eine Methode zur gegenseitigen Authentifizierung über Netzwerkverbindungen. Die Abkürzung mTLS steht dabei für “mutual TLS”. mTLS stellt bei Netzwerkverbindungen an beiden Enden die Authentizität und Integrität der Verbindungsparteien über X.509-Zertifikate sicher. Technologisch baut die Methode auf dem Verschlüsselungsprotokoll TLS (Transport Layer Security) auf.

Jetzt zum Myra Certificate Manager

Auf einen Blick

1. mTLS: Eine Definition
2. Wie funktioniert mTLS?
3. Wie werden die Zertifikate bereitgestellt?
4. Wo wird mTLS eingesetzt?
5. mTLS: Das müssen Sie wissen

Laptop mit kryptischen Code auf dem Bildschirm

mTLS: Eine Definition

Dank mTLS ist der Traffic zwischen Client und Server in beide Richtungen authentifiziert – das schafft Vertrauen und Sicherheit. Um die Integrität der Verbindungsparteien sicherzustellen, werden X.509-Zertifikate zur gegenseitigen Authentifizierung eingesetzt. Dieser erweiterte TLS-Handshake wird standardmäßig von TLS unterstützt und eignet sich insbesondere für Zero-Trust-Umgebungen oder für die abgesicherte Kommunikation mit IoT-Geräten oder APIs.

Wie funktioniert mTLS?

Bei üblichen TLS-Verbindungen, die etwa zur Absicherung des Online-Banking eingesetzt werden, verfügt ausschließlich der Server über ein Schlüsselpaar bestehend aus Public und Private Key. Der Client verifiziert lediglich das TLS-Zertifikat des Servers, um über die verschlüsselte Verbindung Daten auszutauschen.

Verbindungsaufbau via TLS

Der Client baut eine Verbindung zum Server auf
Der Server zeigt sein TLS-Zertifikat vor
Das Zertifikat des Servers wird vom Client verifiziert
Verschlüsselter Datenaustausch zwischen Client und Server

Bei mTLS-Verbindungen verfügen hingegen Server UND Client über ein kryptografisches Schlüsselpaar zur gegenseitigen Authentifizierung. Für den Verbindungsaufbau sind daher zusätzliche Schritte notwendig. So muss nun auch der Client sein Zertifikat vorlegen, das wiederum durch den Server verifiziert wird. Sobald die Verifikation auf beiden Seiten erfolgreich war, kann über die mTLS-Verbindung ein Datenaustausch zwischen Client und Server erfolgen.

Verbindungsaufbau via mTLS

Der Client baut eine Verbindung zum Server auf
Der Server zeigt sein TLS-Zertifikat vor
Das Zertifikat des Servers wird vom Client verifiziert
Der Client zeigt sein TLS-Zertifikat dem Server vor
Der Server verifiziert das TLS-Zertifikat des Clients
Client erhält bei erfolgreicher Verifizierung Zugang zum Server
Verschlüsselter Datenaustausch zwischen Client und Server

Überzeugen Sie sich von unseren maßgestalteten Security-as-a-Service-Lösungen für IT-Infrastrukturen und Webapplikationen.

Jetzt kostenlose Demo anfordern

Wie werden die Zertifikate bereitgestellt?

Die zur gegenseitigen Authentifizierung erforderlichen Zertifikate werden von einer zentralen Certificate Authority (CA) bereitgestellt, die in einem solchen Enterprise-Kontext meist vom jeweiligen Unternehmen selbst betrieben wird. Hierfür benötigt die Firma ein „Root“-TLS-Zertifikat. Im Gegensatz zu herkömmlichen TLS-Verbindungen, wie sie im freien Internet gebräuchlich sind, ist hier also keine externe Zertifizierungsstelle erforderlich – das Stammzertifikat kann das Unternehmen selbst erstellen.

Wo wird mTLS eingesetzt?

In aller Regel kommt mTLS immer dann zum Einsatz, wenn Zugänge zu Unternehmensnetzwerken und kritischen Anwendungen mit einer zusätzlichen Sicherheitsebene abgesichert werden sollen. Mit mTLS lässt sich in solchen Szenarien sicherstellen, dass nur Clients, die über das erforderliche Zertifikat verfügen, überhaupt eine Verbindung aufbauen können. Dadurch sind die dahinterliegenden Zugänge stärker abgesichert als durch herkömmliche Sicherheitsmechanismen wie passwortgeschützte Konten. Gängige Angriffsmethoden wie Credential Stuffing, Credential Cracking, Brute Force und auch Phishing laufen bei mTLS-gesicherten Seiten ins Leere, solange die Angreifer nicht über die jeweiligen Zertifikate für den Client verfügen. Aufgrund des zusätzlichen Aufwands, der durch die Zertifikatsverwaltung zwangsläufig anfällt, eignet sich mTLS allerdings nur, wenn kritische Ressourcen einem kleinen/beschränkten User-Kreis zur Verfügung gestellt werden sollen. Für öffentliche Websites im freien Internet ist mTLS hingegen keine Option.

mTLS: Das müssen Sie wissen

Als mTLS bezeichnet man eine Methode zur gegenseitigen Authentifizierung von Netzwerkverbindungen über X.509-Zertifikate. Im Gegensatz zur herkömmlichen Absicherung via TLS sendet bei mTLS auch der Client ein Zertifikat aus, das wiederum vom Server verifiziert werden muss. Es erfolgt also eine zusätzliche Authentifizierung für den Client/Besucher der jeweiligen Website. Erst wenn die Zertifikate sowohl von Client als auch Server erfolgreich überprüft wurden, kann eine verschlüsselte Datenverbindung via mTLS aufgebaut werden. Durch diese zusätzliche Schutzebene sind Inhalte, die mittels mTLS abgesichert wurden, gegen eine Reihe schädlicher Angriffsarten geschützt, darunter Credential Stuffing, Credential Cracking, Brute Force oder Phishing. In der Praxis eignet sich mTLS beispielsweise besonders für sensible Webinhalte, die für einen fest definierten Personenkreis vorgesehen sind. Da die Methode einen nicht unerheblichen Aufwand durch die Zertifikatsverwaltung birgt, sind Einsatzszenarien für öffentliche Websites nicht praktikabel.

Die Security-as-a-Service-Lösungen von Myra unterstützen den Einsatz von Client-Zertifikaten mittels mTLS. Kunden haben damit die Möglichkeit, besonders kritische Webinhalte mit einer zusätzlichen Schutzschicht abzusichern.

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Responsible Disclosure Impressum Datenschutz Privatsphäre-Einstellungen AGB