Что такое mTLS
mTLS (mutual TLS) — режим TLS, в котором не только сервер, но и клиент предъявляет сертификат. Сервер проверяет client cert против trusted CA list → принимает решение о доступе. Use cases: service-to-service в microservices, API Gateway с client certs, банкинг и госуслуги с CryptoPro, Zero Trust architectures. Сложнее обычного HTTPS — нужна инфраструктура CA + rotation.
Ниже: подробности, пример, смежные термины, FAQ.
Подробности
- Server config:
ssl_verify_client on;+ssl_client_certificate ca.pem; - Client config: curl
--cert client.pem --key client.key - Certificate chain: client cert должен быть подписан trusted CA
- TLS 1.3: использует CertificateRequest в handshake, не renegotiation
- Revocation: OCSP или CRL для отозванных client certs
Пример
nginx:
ssl_verify_client on;
ssl_client_certificate /etc/ssl/ca.pem;
# $ssl_client_s_dn содержит subject client certСмежные термины
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Гайды
Исследования
Часто задаваемые вопросы
mTLS vs API-key?
mTLS — cryptographic proof ownership private key. API-key — строка, уязвимая к leak. mTLS безопаснее, но сложнее в rotation.
Как распространять client certs?
Automated issuance через internal CA (Vault, Smallstep), ротация каждые 30-90 дней. Для external partners — manual process.
Работает ли в браузерах?
Да. Browser показывает UI выбора cert из OS store. Chrome + macOS — TouchID для unlock.