Zurück zur Übersicht

Begriff

mTLS (Mutual TLS)

Security Networking S3
2 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Bei normalem HTTPS (z. B. Amazon.com) zeigt der Server seinen Ausweis (Zertifikat). "Ich bin Amazon". Der Browser prüft das. Aber Amazon weiß nicht, wer du bist (Authentifizierung erfolgt erst später per Passwort). Bei mTLS zeigen beide ihren Ausweis. Der Server zeigt sein Zertifikat. Und der Client (Browser oder anderer Server) zeigt auch ein Zertifikat. Wenn der Client kein gültiges Zertifikat hat, wird die Verbindung sofort auf Netzwerk-Ebene getrennt. Es ist extrem sicher, weil keine Passwörter übertragen werden. Es wird oft zwischen Servern (Microservices) eingesetzt ("Zero Trust").

Merksatz: Eine Erweiterung von TLS, bei der sich sowohl der Server als auch der Client gegenseitig mittels digitaler Zertifikate authentifizieren, bevor eine verschlüsselte Verbindung aufgebaut wird.


Quick-Check

  1. Ersetzt mTLS OAuth/JWT?
    Nein. mTLS authentifiziert die Maschine (Service A). JWT authentifiziert den User (Max Mustermann), der die Anfrage ausgelöst hat. Man nutzt beides: mTLS für den Tunnel, JWT im Header für den User-Context.
  2. Performance-Kosten?
    Der Handshake dauert etwas länger (Client muss Signieren & Senden). Aber die Verschlüsselung (Symmetrisch AES) ist danach genauso schnell wie normales HTTPS. CPU-Overhead ist heute vernachlässigbar.
  3. Debugging?
    Schmerzhaft. Du kannst mit Wireshark nicht mehr reinschauen. curl geht nicht mehr einfach so. Du brauchst spezielle Debug-Pods mit den richtigen Zertifikaten ("Netshoot").