mTLS (Autenticación Mutual TLS)

Autenticación Security Notes Jan 6, 2025 JAVASCRIPT

Definition

Cuando visitas un sitio web seguro, tu navegador comprueba que el sitio web es quien dice ser - eso es TLS estándar. Pero el sitio web no verifica quién eres tú a nivel de encriptación; eso ocurre después mediante contraseñas o cookies. Mutual TLS (mTLS) cambia esta dinámica completamente: ambos lados deben probar su identidad al otro antes de que fluyan datos. Es como si ambas personas en una conversación mostraran su DNI antes de hablar.

En la autenticación mTLS, el servidor presenta su certificado (igual que en HTTPS normal), pero luego se da la vuelta y dice “ahora muéstrame el tuyo.” El cliente debe presentar su propio certificado, emitido por una Autoridad de Certificación en la que el servidor confía. Solo después de que ambos certificados son verificados comienza la conversación encriptada. Sin nombres de usuario, sin contraseñas, sin tokens que robar - la verificación de identidad ocurre en el nivel más profundo de la conexión misma.

Esto crea un modelo de seguridad increíblemente fuerte porque no hay nada que interceptar o reproducir. A diferencia de los bearer tokens que podrían ser robados de la memoria o del tráfico de red, la clave privada de un certificado nunca abandona el almacenamiento seguro del cliente. Incluso si un atacante captura toda la conversación de red, no puede suplantar al cliente sin poseer la clave privada real. Por eso mTLS es el estándar de oro para comunicación servicio-a-servicio en entornos de alta seguridad como banca, sanidad y sistemas gubernamentales.

Example

mTLS puede sonar abstracto, pero protege sistemas críticos de los que dependes cada día:

Infraestructura Bancaria: Cuando la app móvil de tu banco habla con sus servidores, mTLS a menudo asegura esa conexión. Cuando los bancos transfieren dinero entre sí (a través de sistemas como SWIFT o SEPA), mTLS asegura que solo servidores bancarios verificados puedan participar. Ninguna cantidad de contraseñas robadas puede permitir que un atacante se inyecte en estas conversaciones.

Procesamiento de Pagos: Cuando el terminal punto de venta de un comercio procesa tu tarjeta de crédito, se conecta a procesadores de pago como las redes de Visa o Mastercard. Estas conexiones usan mTLS para asegurar que solo terminales de pago certificados puedan enviar transacciones. Ese lector de tarjetas en tu cafetería tiene un certificado que prueba que es legítimo.

Intercambio de Datos Sanitarios: Cuando los hospitales comparten historiales médicos a través de intercambios de información sanitaria, mTLS asegura que solo proveedores sanitarios autorizados puedan acceder a los datos. Un hospital en la red presenta su certificado, probando que realmente es ese hospital y no alguien suplantándolo.

Kubernetes y Microservicios: En arquitecturas cloud modernas, cientos de microservicios hablan entre sí constantemente. Los service meshes como Istio usan mTLS para asegurar que el “servicio-de-usuarios” hablando con el “servicio-de-pagos” es realmente el servicio de usuarios legítimo y no un contenedor comprometido intentando robar datos.

Sistemas Gubernamentales: Cuando las agencias gubernamentales comparten datos (registros fiscales, seguridad social, bases de datos policiales), mTLS protege estos intercambios. El sistema de certificados crea una identidad infalsificable para cada agencia participante.

Analogía

El Intercambio de Credenciales Diplomáticas: Imagina dos embajadores reuniéndose para discutir asuntos sensibles. Antes de que comience la conversación, ambos deben presentar sus credenciales diplomáticas - cartas selladas de sus respectivos gobiernos probando su identidad y autoridad. Solo después de que cada embajador verifica las credenciales del otro comienzan a hablar. Ninguno puede falsificar estas credenciales porque están firmadas por las más altas autoridades (Autoridades de Certificación en el mundo digital).

El Club Exclusivo con Verificación Mutua: Imagina un club privado donde tanto el club como el socio deben verificarse mutuamente. Tú muestras tu tarjeta de socio (certificado de cliente), y el portero muestra su placa oficial de personal (certificado de servidor). Ambos son emitidos por la dirección del club (Autoridad de Certificación). Un impostor con una tarjeta de socio falsa es pillado porque el sistema real conoce las falsificaciones. Y los socios pueden verificar que están entrando al club real, no una fachada falsa.

La Caja de Seguridad del Banco: Para acceder a una caja de seguridad, necesitas tu llave Y el empleado del banco necesita la suya. Ninguna llave funciona sola - ambas partes deben estar autenticadas para abrir la caja. Si alguien roba tu llave, todavía no pueden acceder a la caja sin la cooperación del banco. mTLS funciona de manera similar: la conexión solo se abre cuando ambos lados prueban que tienen “llaves” (certificados) válidas.

El Desafío y Contraseña Militar: En operaciones militares, los centinelas usan sistemas de desafío y contraseña. El centinela desafía a una persona que se acerca, quien debe dar la contraseña correcta. Pero en áreas seguras, la persona que se acerca TAMBIÉN desafía al centinela para probar que es legítimo y no un enemigo disfrazado. Esta autenticación mutua previene tanto que impostores entren COMO que personal legítimo sea engañado por puestos de control falsos. Eso es mTLS - ambos lados deben probarse a sí mismos.

Code Example


// Ejemplo cliente mTLS en Node.js
const https = require('https');
const fs = require('fs');

const options = {
  hostname: 'api.example.com',
  port: 443,
  path: '/resource',
  method: 'GET',
  // Certificado y clave del cliente
  cert: fs.readFileSync('./client-cert.pem'),
  key: fs.readFileSync('./client-key.pem'),
  // Certificado CA para verificar servidor
  ca: fs.readFileSync('./ca-cert.pem'),
  // Rechazar certificados no autorizados
  rejectUnauthorized: true
};

const req = https.request(options, (res) => {
  res.on('data', (d) => {
    process.stdout.write(d);
  });
});

req.on('error', (e) => {
  console.error('Error mTLS:', e);
});
req.end();

// Ejemplo servidor mTLS en Node.js
const server = https.createServer({
  cert: fs.readFileSync('./server-cert.pem'),
  key: fs.readFileSync('./server-key.pem'),
  ca: fs.readFileSync('./ca-cert.pem'),
  requestCert: true,          // Requerir certificado del cliente
  rejectUnauthorized: true    // Rechazar certificados de cliente inválidos
}, (req, res) => {
  // Extraer información del certificado del cliente
  const clientCert = req.socket.getPeerCertificate();
  console.log('CN del Cliente:', clientCert.subject.CN);

  res.writeHead(200);
  res.end('Autenticado via mTLS');
});

Diagrama

sequenceDiagram
    participant C as Cliente
    participant S as Servidor
    participant CA as Autoridad de Certificacion

    Note over CA: Emite certificados a
Cliente y Servidor

    C->>S: ClientHello
(Inicia handshake TLS)

    S-->>C: ServerHello +
Certificado del Servidor +
CertificateRequest

    Note over C: Verificar Certificado del Servidor
contra CA de confianza

    C->>S: Certificado del Cliente +
CertificateVerify +
Finished

    Note over S: Verificar Certificado del Cliente
contra CA de confianza

    alt Ambos Certificados Validos
        S-->>C: Finished
(Handshake completo)
        Note over C,S: Canal encriptado establecido
Autenticacion MUTUA lograda
        C->>S: Datos de Aplicacion Encriptados
        S-->>C: Respuesta Encriptada
    else Certificado de Cliente Invalido
        S-->>C: Alerta TLS: Certificado Requerido
        Note over C,S: Conexion Terminada
    else Certificado de Servidor Invalido
        Note over C: Conexion Abortada
    end

    Note over C,S: AMBAS partes verificadas
Sin contraseñas ni tokens

Notas de Seguridad

SECURITY NOTES

CRÍTICO - …

Configuración y Validación:

  • Usar certificados de Autoridades de Certificación de confianza.
  • Implementar certificate pinning para escenarios de alta seguridad.
  • Los certificados deben rotarse antes de su expiración (automatizar renovación).
  • Las claves privadas deben almacenarse en Hardware Security Modules (HSMs) o almacenes de claves seguros, nunca en código o control de versiones.
  • Implementar verificación de revocación de certificados (CRL/OCSP).
  • Usar tamaños de clave fuertes (mínimo 2048-bit RSA o 256-bit ECC).

Monitoreo y Protección:

  • Establecer tiempos de vida de certificados apropiados (90-365 días recomendado).
  • Monitorizar fechas de expiración de certificados.
  • Implementar rotación de certificados sin downtime.
  • Validar cadena de certificados, fechas de validez y sujeto/emisor.
  • Usar para comunicación servidor-a-servidor, no autenticación de usuarios.
  • Considerar complejidad operacional vs beneficios de seguridad.

Estándares y RFCs

Standards & RFCs
1)RFC 8705- [OAuth 2.0](https://reference.apios.info/es/terms/oauth-2/) Mutual-TLS Client Authentication
2)RFC 5246- TLS 1.2
3)RFC 8446- TLS 1.3
4)RFC 5280- X.509 PKI Certificate and CRL Profile