mTLS (mutual TLS) — режим TLS, в котором не только сервер, но и клиент предъявляет сертификат. Сервер проверяет client cert против trusted CA list → принимает решение о доступе. Use cases: service-to-service в microservices, API Gateway с client certs, банкинг и госуслуги с CryptoPro, Zero Trust architectures. Сложнее обычного HTTPS — нужна инфраструктура CA + rotation.
Ниже: подробности, пример, смежные термины, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
ssl_verify_client on; + ssl_client_certificate ca.pem;--cert client.pem --key client.keynginx:
ssl_verify_client on;
ssl_client_certificate /etc/ssl/ca.pem;
# $ssl_client_s_dn содержит subject client certmTLS (mutual TLS) — это расширение протокола TLS, обеспечивающее взаимную аутентификацию между клиентом и сервером. В отличие от стандартного TLS, где только сервер подтверждает свою личность, mTLS требует, чтобы обе стороны обменивались сертификатами, тем самым повышая уровень безопасности. Это особенно важно в распределенных системах, где необходимо удостовериться не только в подлинности сервера, но и клиента.
Настройка mTLS требует выполнения нескольких шагов, включая создание сертификатов, настройку серверной и клиентской конфигурации. Рассмотрим пример настройки mTLS на сервере Nginx и клиенте cURL.
Для начала необходимо создать корневой сертификат и подписать им сертификаты для сервера и клиента. Используйте следующие команды:
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500Теперь отредактируйте конфигурацию Nginx для использования mTLS:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/server.crt;
ssl_certificate_key /path/to/server.key;
ssl_client_certificate /path/to/rootCA.pem;
ssl_verify_client on;
}Теперь, когда сервер настроен, настроим клиента. Используйте следующую команду cURL для тестирования:
curl -v -s --key /path/to/client.key --cert /path/to/client.crt --cacert /path/to/rootCA.pem https://example.comЕсли все настроено правильно, вы получите ответ от сервера, подтверждающий успешную аутентификацию.
mTLS обеспечивает высокий уровень безопасности благодаря взаимной аутентификации, что делает его идеальным для защищенных API, IoT-устройств и микросервисов. Однако, есть и недостатки, которые стоит учитывать.
В итоге, выбор mTLS должен основываться на конкретных требованиях вашего проекта и уровне необходимой безопасности.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)mTLS — cryptographic proof ownership private key. API-key — строка, уязвимая к leak. mTLS безопаснее, но сложнее в rotation.
Automated issuance через internal CA (Vault, Smallstep), ротация каждые 30-90 дней. Для external partners — manual process.
Да. Browser показывает UI выбора cert из OS store. Chrome + macOS — TouchID для unlock.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.