mTLS

Protocolos Y Transporte Security Notes Jan 6, 2025 BASH

Definition

TLS normal es como llamar a una empresa - verificas que has llegado a la compañía correcta, pero ellos simplemente confían en tu palabra sobre quién eres. Mutual TLS (mTLS) cambia esto a una verificación bidireccional: tanto tú como la empresa debéis probar vuestras identidades antes de que ocurra cualquier conversación. En el mundo digital, esto significa que tanto el cliente como el servidor presentan certificados criptográficos entre sí, creando una base de confianza mucho más fuerte.

Piénsalo así: cuando te conectas al sitio web de tu banco, TLS asegura que realmente estás hablando con el banco y no con un impostor. Pero el banco no verifica criptográficamente que tu ordenador está autorizado - se basa en contraseñas o tokens enviados después de que la conexión se establece. Con mTLS, tu ordenador mismo debe probar su identidad con un certificado antes de que fluya cualquier dato. Es autenticación integrada en la capa de conexión, no añadida después.

Esta verificación bidireccional de certificados es la columna vertebral de las arquitecturas de seguridad “zero-trust” modernas. En lugar de asumir que cualquier cosa dentro de tu red es segura (el viejo enfoque de “castillo y foso”), zero-trust asume que nada es seguro hasta que se demuestre lo contrario. Cada servicio, cada conexión, cada petición debe probar su identidad. mTLS hace esto posible a escala porque la verificación ocurre automáticamente durante el establecimiento de la conexión - sin pasos de login extra, sin tokens que gestionar, sin credenciales que rotar manualmente.

Example

mTLS es el héroe no reconocido que protege las operaciones digitales más sensibles que ocurren a tu alrededor:

Infraestructura Cloud: AWS, Google Cloud y Azure usan mTLS extensivamente para sus servicios internos. Cuando despliegas algo en Kubernetes, los componentes del plano de control se comunican usando mTLS. Tus conexiones a base de datos, tu acceso a almacenamiento, tus APIs internas - todo protegido por verificación mutua de certificados ocurriendo invisiblemente.

Redes Corporativas Zero-Trust: Las empresas modernas se están alejando de las VPNs hacia arquitecturas zero-trust. En lugar de “conéctate a la VPN, entonces eres de confianza”, los dispositivos de los empleados tienen certificados que prueban que son dispositivos autorizados de la empresa. Cada conexión a recursos internos requiere verificación mTLS - ya estés en la oficina o en una cafetería.

Flotas de Dispositivos IoT: Cuando Tesla o John Deere envían actualizaciones a miles de vehículos, mTLS asegura que solo servidores legítimos de la empresa puedan enviar actualizaciones Y solo vehículos legítimos puedan recibirlas. Un hacker no puede enviar firmware malicioso, y un dispositivo falsificado no puede robar actualizaciones propietarias.

API Gateways: Los API gateways empresariales como Kong o Apigee usan mTLS para integraciones con partners. Cuando los sistemas de la Empresa A se conectan a las APIs de la Empresa B, ambos lados presentan certificados. Sin API keys que filtrar, sin contraseñas que adivinar - solo prueba criptográfica de identidad.

Analogía

La Entrada al Edificio Seguro: Imagina un edificio gubernamental donde tanto visitantes como guardias de seguridad deben verificarse mutuamente. Te acercas a la puerta, pasas tu tarjeta de seguridad (certificado de cliente), y el guardia la escanea. Pero tú también verificas las credenciales del guardia (certificado de servidor) para asegurarte de que no te están engañando con alguien con uniforme falso. Solo cuando ambas verificaciones tienen éxito se desbloquea la puerta. Eso es mTLS - prueba mutua de identidad antes de cualquier acceso.

El Intercambio de Códigos de Película de Espías: En las películas de espías, los agentes que se encuentran por primera vez a menudo intercambian frases en clave - “El águila vuela a medianoche” / “Pero solo cuando la luna está llena.” Ambos lados deben dar la respuesta correcta antes de confiar el uno en el otro. mTLS funciona de manera similar: cliente y servidor intercambian desafíos de certificados, y ambos deben pasar antes de que la conexión proceda.

La Firma de Contrato Notarizado: Cuando dos empresas firman un contrato importante, ambas partes muestran identificación oficial al notario, quien verifica cada identidad antes de presenciar las firmas. Ninguna parte puede alegar que no firmó, y ninguna puede ser suplantada. mTLS proporciona este mismo nivel de identidad verificada para conexiones digitales.

El Protocolo de Puerta de Cabina de Avión: Después del 11-S, las puertas de cabina usan un sistema de verificación donde tanto auxiliares de vuelo como pilotos deben verificarse mutuamente antes de que la puerta se abra. El auxiliar verifica que realmente es el piloto pidiendo salir, y el piloto verifica que realmente es el auxiliar quien llama. Ningún lado confía ciegamente. mTLS aplica esta verificación paranoica-pero-necesaria a cada conexión de red.

Diagrama

sequenceDiagram
    participant C as Cliente
    participant S as Servidor
    participant CA as Autoridad Certificadora

    rect rgb(240, 240, 200)
        Note over C,CA: Prerequisito: Ambos tienen certificados
        CA-->>S: Certificado del Servidor emitido
        CA-->>C: Certificado del Cliente emitido
    end

    rect rgb(200, 230, 200)
        Note over C,S: Comienza el Handshake mTLS
        C->>S: ClientHello
        Note right of C: Cifrados soportados
Version TLS

        S->>C: ServerHello + Certificado del Servidor
        Note left of S: Cifrado seleccionado
Certificado del servidor
    end

    rect rgb(240, 200, 200)
        Note over C,S: Autenticacion MUTUA (Diferencia Clave)
        S->>C: CertificateRequest
        Note left of S: El servidor SOLICITA
certificado del cliente

        C->>S: Certificado del Cliente
        Note right of C: El cliente PROPORCIONA
su certificado
    end

    rect rgb(200, 220, 240)
        Note over C,S: Ambos Lados Verifican
        C->>C: Verificar Certificado del Servidor
        Note right of C: Verificar contra CA
Validar identidad

        S->>S: Verificar Certificado del Cliente
        Note left of S: Verificar contra CA
Validar identidad
    end

    rect rgb(220, 240, 220)
        Note over C,S: Canal Encriptado Mutuamente Autenticado
        C->>S: Peticion Encriptada
        S->>C: Respuesta Encriptada
        Note over C,S: AMBAS partes verificadas
Zero-trust logrado
    end

Code Example


# Generate client certificate
openssl req -new -x509 -days 365 -keyout client-key.pem \
  -out client-cert.pem -subj "/CN=api-client"

# Node.js mTLS server
const https = require('https');
const fs = require('fs');

const options = {
  key: fs.readFileSync('server-key.pem'),
  cert: fs.readFileSync('server-cert.pem'),
  ca: fs.readFileSync('ca-cert.pem'),
  requestCert: true,
  rejectUnauthorized: true
};

https.createServer(options, (req, res) => {
  if (req.client.authorized) {
    const cert = req.socket.getPeerCertificate();
    console.log('Client CN:', cert.subject.CN);
    res.writeHead(200);
    res.end('Authenticated via mTLS');
  } else {
    res.writeHead(401);
    res.end('Invalid certificate');
  }
}).listen(443);

Notas de Seguridad

SECURITY NOTES
CRÍTICO: Implementa verificación adecuada de revocación de certificados (CRL u OCSP). Usa certificados de corta duración y automatiza rotación. Mantén almacenamiento seguro para claves privadas (HSM o servicio de gestión de claves). Implementa certificate pinning para clientes conocidos. Valida Common Name (CN) de certificado o Subject Alternative Names (SAN) contra listas de permitidos. Monitorea expiración de certificados e intentos de autenticación fallidos. Usa CAs separadas para diferentes límites de confianza. Implementa manejo adecuado de errores para prevenir divulgación de información. Considera transparencia de certificados para pistas de auditoría. Nunca compartas claves privadas entre servicios.

Standards & RFCs

Standards & RFCs
1)RFC 8705[OAuth 2.0](https://reference.apios.info/es/terms/oauth-2/) Mutual-TLS Client Authentication and Certificate-Bound Access Tokens
2)RFC 8446The Transport Layer Security (TLS) Protocol Version 1.3
3)RFC 5246The Transport Layer Security (TLS) Protocol Version 1.2
4)RFC 6125Representation and Verification of Domain-Based Application Service Identity