Skip to content
Latchkey

O Que É Mutual TLS? Ambos os Lados Provam sua Identidade

O mutual TLS, ou mTLS, estende o TLS comum para que tanto o cliente quanto o servidor apresentem certificados, cada um provando sua identidade ao outro antes de qualquer dado fluir.

No TLS padrão, apenas o servidor prova quem é; o cliente permanece anônimo na camada de transporte. O mutual TLS faz o cliente apresentar um certificado também, oferecendo autenticação forte nas duas direções. É comum em service meshes e redes zero-trust, e o CI precisa portar o certificado de cliente correto para alcançar tais serviços.

Autenticação nas duas direções

No mTLS o handshake exige que o cliente apresente um certificado válido junto ao servidor. A conexão só é bem-sucedida se cada lado confiar no certificado do outro, autenticando ambas as partes.

Onde o mTLS é usado

  • Service meshes protegendo tráfego leste-oeste.
  • Redes zero-trust que autenticam cada conexão.
  • APIs de alta segurança que exigem certificados de cliente.

Distribuição de certificados

Ambos os lados precisam de certificados emitidos por uma autoridade confiável. Gerenciar, rotacionar e distribuir certificados de cliente é o principal custo operacional do mTLS.

mTLS no CI/CD

Um pipeline que chama um serviço protegido por mTLS precisa portar um certificado de cliente válido, geralmente injetado como um secret. Sem ele, o handshake é rejeitado antes de qualquer requisição ser enviada.

Por que conexões são recusadas

Um certificado de cliente ausente, expirado ou não confiável faz o handshake falhar completamente. O erro aparece no momento da conexão, não como um status HTTP, porque nenhuma requisição chega a se completar.

Determinístico, não transitório

Uma rejeição de mTLS por um certificado de cliente ruim falha toda vez até o certificado ser corrigido, então fazer retry não ajuda. Os runners da Latchkey fazem retry de resets de handshake transitórios, mas expõem falhas de certificado genuínas para que você corrija a credencial.

Principais conclusões

  • O mutual TLS autentica tanto o cliente quanto o servidor com certificados.
  • É comum em service meshes e redes zero-trust.
  • Um certificado de cliente ausente ou expirado falha deterministicamente, não transitoriamente.

Guias relacionados