#mtls — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #mtls, aggregated by home.social.
-
mTLS на практике: от модели угроз до реальных атак на сервер
Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.
https://habr.com/ru/companies/ruvds/articles/1031920/
#сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи
-
mTLS на практике: от модели угроз до реальных атак на сервер
Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.
https://habr.com/ru/companies/ruvds/articles/1031920/
#сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи
-
mTLS на практике: от модели угроз до реальных атак на сервер
Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.
https://habr.com/ru/companies/ruvds/articles/1031920/
#сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи
-
mTLS на практике: от модели угроз до реальных атак на сервер
Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.
https://habr.com/ru/companies/ruvds/articles/1031920/
#сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов
Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать
https://habr.com/ru/articles/1025856/
#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность
-
mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов
Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать
https://habr.com/ru/articles/1025856/
#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность
-
mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов
Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать
https://habr.com/ru/articles/1025856/
#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность
-
mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов
Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать
https://habr.com/ru/articles/1025856/
#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность
-
Tinkering with #mTLS today.
I was able to use it to secure #wavelog and it seems to work as expected, but trying to do the same with #homeassistant , on the other hand, broke access entirely.
What's frustrating is that there seems to be very little feedback when it doesn't work. Server logs didn't show any unauthorized access attempts, the browser just kept timing out.
I was initially hoping that I could use mTLS to securely access some of my private services without my VPN, but I'm also finding that many applications (like #symfonium) don't support mTLS, anyway. Is it worth continuing to try to make it work? I haven't decided.
-
Гайд по быстрому мониторингу Linux-хостов в Grafana без Zabbix
Всем привет! Меня зовут Анатолий Зотов, я системный архитектор SOC в RED Security. Как центр мониторинга и реагирования на кибератаки, мы должны быстро и внятно видеть, что происходит с железом и ОС на хостах: не кончается ли место на диске, не улетела ли память и не уперся ли CPU в потолок. Как это реализовать, да еще и безопасно? Когда мы только приступали к задаче, первой мыслью, конечно, был Zabbix, как и у половины планеты. Но у нас никто не горел желанием поднимать еще одну систему, раскатывать агенты, подбирать шаблоны и разбираться с нюансами. Времени, как обычно, не завезли. А вот Grafana у нас уже была, поэтому я подумал — а что, если просто использовать то, что уже есть? Так я и наткнулся на связку «node_exporter → Prometheus → Grafana». Эта статья для тех, кто хочет быстро начать мониторить хосты и не готов тратить вечность на внедрение тяжелой системы, особенно если Grafana уже живет в вашей инфраструктуре. Если Grafana и Prometheus у вас еще нет, то дополнительно расскажу быстрый старт через Docker Compose.
https://habr.com/ru/companies/ru_mts/articles/1008244/
#Prometheus #Grafana #Node_Exporter #мониторинг #Linux #системный_мониторинг #TLS #mTLS #Docker_Compose #observability
-
We need to simplify client certificates for IoT and MTLS. One way is to anchor client certs in DNS.
The IETF DANCE working group needs more energy to complete our work. Want to join? Get on the mailing list now and help out!
https://datatracker.ietf.org/group/dance/about/ -
Look at the sidecar-less service mesh in #Istio, featuring an innovative two-layer design. The key advantages of this are the live demos on enforcing #mTLS and rich #L7authorization policies without sidecars.
-
Look at the sidecar-less service mesh in #Istio, featuring an innovative two-layer design. The key advantages of this are the live demos on enforcing #mTLS and rich #L7authorization policies without sidecars.
-
mTLS looks simple until you realize what it doesn’t protect you from.
A trusted client certificate is not the same thing as an allowed client.
If your Java service stops at “the handshake worked,” you’re leaving a gap attackers can walk through.I wrote up a hands-on Quarkus implementation that shows:
– where TLS ends
– where security should begin
– and how to enforce certificate rules before business logic runshttps://www.the-main-thread.com/p/quarkus-mtls-client-certificate-validation-java
-
Smart Wave = ocean telemetry at scale 🌍
RELIANOID = keeping it secure, fast, and always-on ⚡Just dropped a tech guide on how we load balance Smart Wave:
🔹 MQTT + REST + Web UI
🔹 mTLS + WAF + DoS protection
🔹 Prometheus + Grafana ready
🔹 Handles satellite links like a breezeRead it → https://www.relianoid.com/resources/knowledge-base/howtos/load-balancing-smart-wave-with-relianoid/
#RELIANOID #SmartWave #MaritimeIoT #Telemetry #BlueEconomy #DevOps #mTLS -
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Flux-aio, Kubernetes mTLS и проблема курицы и яйца
Мы тут в Cozystack в очередной раз решаем проблему курицы и яйца: как задеплоить CNI и kube-proxy через Flux, но при этом обеспечить работу самого flux без CNI и kube-proxy. Сам Flux запустить без CNI и kube-proxy можно используя проект flux-aio (от создателя Flux), который запускает единый deployment со всеми контроллерами настроенными на коммуникацию друг с другом через localhost. Специфика Cozystack заключается в том, что на каждый кластер мы деплоим внутри небольшой HTTP-сервер с Helm-чартами и другими ассетами используемыми в платформе. Flux эти чарты читает и устанавливает в систему. Но вот как организовать доступ флюксу к внутреннему HTTP-серверу, запущенному как под внутри того же кластера?
-
@patrickcmiller and still only @Viss recommends putting #ExchangeServer behind #HAProxy with #mTLS
-
NEW BLOGPOST!
It's been a while! Very happy to share this mTLS in-depth tutorial. Lots of subjects in this one: password managers, TLS, mTLS of course, @traefik, @bitwarden, @vaultwarden_releases, Smallstep's CLI...
https://zoug.fr/mtls-bitwarden-vaultwarden-traefik-smallstep/
Don't hesitate to reply to this post: it'll help me test that the comments section works fine (and I'd greatly appreciate some feedback :))
#mtls #https #tls #passwordmanager #password #bitwarden #vaultwarden #traefik #smallstepca
-
🏦 **Představuji: RBC Premium API Python Library v1.0.2**
Po dlouhé práci jsem dokončil a vydal kompletní Python client knihovnu pro Premium API Raiffeisenbank České republiky. Tato knihovna významně zjednodušuje integraci s bankovními službami pro české vývojáře a firmy.
🎯 **Co knihovna nabízí:**
**Kompletní API pokrytí:**
• Správa účtů a zůstatků
• Přehledy transakcí (včetně spořicích účtů)
• Import plateb
• Stahování výpisů
• Aktuální FX kurzy
• Batch operace**Profesionální implementace:**
• Automaticky generováno z OpenAPI 3.0 specifikace
• Plná podpora mTLS autentizace s PKCS#12 certifikáty
• Type hints pro bezpečný vývoj
• Komprehenzivní error handling
• Dodržování rate limitů (10/s, 5000/den)**Developer Experience:**
• 14 praktických příkladů použití
• Kompletní dokumentace všech endpoints
• Snadná instalace přes pip
• Podpora Python 3.9+🔧 **Technické detaily:**
Knihovna je postavena na OpenAPI Generator 7.13.0 s vlastními šablonami optimalizovanými pro Python. Řeší běžné problémy s imports, forward references a poskytuje utility pro extrakci certifikátů z P12 souborů.📈 **Proč je to důležité:**
V době digitalizace bankovnictví potřebují firmy spolehlivé nástroje pro integraci s bankovními API. Tato knihovna odstraňuje technické bariéry a umožňuje vývojářům soustředit se na business logiku místo na low-level HTTP komunikaci. (+ jsem se na tom naučil commandovat copilota na složitějším projektu)📦 **Jak začít:**
```bash
pip install rbczpremiumapi
```Více informací, příklady a dokumentace najdete na:
🔗 PyPI: https://pypi.org/project/rbczpremiumapi/
🔗 GitHub: https://github.com/Vitexus/python-rbczpremiumapiTěším se na vaše zpětné vazby a případné příspěvky k dalšímu rozvoji!
#Python #API #Banking #FinTech #OpenSource #RaiffeisenBank #VitexSoftware #CzechTech #OpenAPI #mTLS #PKCS12
-
Smart Wave = ocean telemetry at scale 🌍
RELIANOID = keeping it secure, fast, and always-on ⚡Just dropped a tech guide on how we load balance Smart Wave:
🔹 MQTT + REST + Web UI
🔹 mTLS + WAF + DoS protection
🔹 Prometheus + Grafana ready
🔹 Handles satellite links like a breezeRead it → https://www.relianoid.com/resources/knowledge-base/howtos/load-balancing-smart-wave-with-relianoid/
#RELIANOID #SmartWave #MaritimeIoT #Telemetry #BlueEconomy #DevOps #mTLS -
🧵 Nova Scotia Power got hit with a big data breach.
💥 Customer data stolen
💥 Phone & billing systems offlineWhen infra goes down, trust goes too.
RELIANOID helps prevent this:
✅ Reverse proxy protection
✅ Encrypted traffic (mTLS)
✅ Zero-downtime updates
✅ 24/7 expert supportIf you're running critical systems — secure them before someone else breaks in.
#CyberSecurity #CriticalInfrastructure #Utilities #DataBreach #ZeroDowntime #RELIANOID #mTLS #NetworkSecurity
-
Firefox *finally* supports mTLS / SSL client certificates on Android! 🥳
It only took a dozen years, but who is counting. (Me. I was counting.)
That was a blocker in some of my use cases still forcing Chrome, so ... 🎉
https://bugzilla.mozilla.org/show_bug.cgi?id=868370
#mTLS #SSL #Firefox #Mozilla #MozillaFirefox #OpenSource #Android #Chrome
-
Маршрутизация силами Haproxy, DoH, GeoIP, защита сервисов через mTLS и выгрузка метрик в Prometheus, настройка ACME.SH
Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.
-
In my journey on #selfhosting and securing my VPS, I was able to setup #mTLS on #nginx , but on a Mac it’s barely usable.
Browser keeps asking for username and password to access system keychain, no matter what I do.
Am I missing something? -
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
🔐 mTLS: Mutual Trust for Secure Connections 🔐
In mTLS, both client and server authenticate each other with verified certificates, creating a trusted, encrypted communication channel. Perfect for high-security environments! #mTLS #Cybersecurity #SecureConnections #Encryption
#mTLS #Cybersecurity #NetworkSecurity #TLS #MutualAuthentication #SecureCommunication #DataEncryption
-
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Lots of useful information in this article for both #researchers and #pentesters (and #defenders of course)
#mTLS: When certificate authentication is done wrong
https://github.blog/2023-08-17-mtls-when-certificate-authentication-is-done-wrong/
-
Middleware Manager v4.1.2 giờ hoạt động độc lập với Traefik và hỗ trợ mTLS gốc cho từng tài nguyên/router. Nâng cấp đáng chú ý bao gồm:
- Quản lý dịch vụ/middleware tinh vi, hiệu suất ổn định hơn
- Hỗ trợ plugin nâng cao như mTLS, Bandwidth Limiter
- Giao diện người dùng tối ưu hóa với Dark Mode
- Tích hợp sâu với API Traefik#Traefik #MiddlewareManager #mTLS #SelfHosting #CôngNghệMới #TraefikPlugin #SecurityTech
https://www.reddit.com/r/selfhosted/comments/1qm8a4c/traefik_middleware
-
Mutual Transport Layer Security (mTLS), or Two-Way TLS, adds an extra layer of security by ensuring both the client and server authenticate each other using digital certificates.
By implementing mTLS, organizations can significantly enhance the security and trustworthiness of their communications.
#CyberSecurity #TLS #mTLS #DataProtection #SecureCommunications #B2BSecurity #APISecurity #TechInnovation -
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
Is it possible to install a client TLS client certificate on an iPhone running iOS 16?
I'm trying to do it but can't get it to show the certificate as verified (even though the Root and Intermediate CAs are both installed, verified and fully trusted).
Really want to leverage mTLS. I've had it working on an iPhone before (a couple of years ago, I think), but not sure if it's possible any longer.
#tls #https #smallstep #stepca #mtls #https #iphone #ios #apple #infosec
-
How to configure mTLS using SPIRE and Envoy » https://www.youtube.com/watch?v=7qANSe9ajbE
-
Продвинутые сетевые функции Kubernetes
Kubernetes, ставший де-факто стандартом для оркестрации контейнеров, значительно упрощает развертывание, масштабирование и управление контейнеризированными приложениями. Однако, по мере роста и усложнения инфраструктуры, требования к сетевым возможностям также увеличиваются. В современных распределенных системах, где различные микросервисы взаимодействуют друг с другом, критически важно обеспечить безопасность, производительность и надежность сетевых коммуникаций. Здесь на помощь приходят продвинутые сетевые функции Kubernetes, такие как:
https://habr.com/ru/companies/amvera/articles/833464/
#Kubernetes_ingress #Network_Policies #Service_Mesh #mTLS #Ingress_Controllers #NGINX_Ingress_Controller #Traefik_Ingress #HAProxy_Ingress #Cilium #Kubernetes_LoadBalancer
-
Продвинутые сетевые функции Kubernetes
Kubernetes, ставший де-факто стандартом для оркестрации контейнеров, значительно упрощает развертывание, масштабирование и управление контейнеризированными приложениями. Однако, по мере роста и усложнения инфраструктуры, требования к сетевым возможностям также увеличиваются. В современных распределенных системах, где различные микросервисы взаимодействуют друг с другом, критически важно обеспечить безопасность, производительность и надежность сетевых коммуникаций. Здесь на помощь приходят продвинутые сетевые функции Kubernetes, такие как:
https://habr.com/ru/companies/amvera/articles/833464/
#Kubernetes_ingress #Network_Policies #Service_Mesh #mTLS #Ingress_Controllers #NGINX_Ingress_Controller #Traefik_Ingress #HAProxy_Ingress #Cilium #Kubernetes_LoadBalancer
-
Продвинутые сетевые функции Kubernetes
Kubernetes, ставший де-факто стандартом для оркестрации контейнеров, значительно упрощает развертывание, масштабирование и управление контейнеризированными приложениями. Однако, по мере роста и усложнения инфраструктуры, требования к сетевым возможностям также увеличиваются. В современных распределенных системах, где различные микросервисы взаимодействуют друг с другом, критически важно обеспечить безопасность, производительность и надежность сетевых коммуникаций. Здесь на помощь приходят продвинутые сетевые функции Kubernetes, такие как:
https://habr.com/ru/companies/amvera/articles/833464/
#Kubernetes_ingress #Network_Policies #Service_Mesh #mTLS #Ingress_Controllers #NGINX_Ingress_Controller #Traefik_Ingress #HAProxy_Ingress #Cilium #Kubernetes_LoadBalancer
-
Keycloak. Мапинг учеток через mTLS c двойной проверкой в kubernetes
Продолжаем с делиться экспертизой отдела Security services infrastructure ( департамент Security Services компании «Лаборатории Касперского» ). В данном посте мы разберем, как легко настроить mTLS, обращаясь к ресурсам в k8s через ingress-контроллер, и подсоединить это все к keycloak. Пост будет полезен тем, кто в своей инфраструктуре использует PKI и, в частности, клиентские сертификаты. Ни для кого не секрет, что для улучшения защиты доступа к веб-ресурсам многие компании используют или начинают использовать mTLS — когда помимо проверки серверного сертификата проверяется сертификат пользователя. В данной статье мы расскажем: Как настроить проверку клиентских сертификатов в k8s на ingress-контроллере. Как передать клиентский сертификат с ingress-контроллера в keycloak с мапингом сертификата к учетной записи Keycloak-a. Как и зачем настраивать перепроверку клиентского сертификата в keycloak. Как проверить отозванные клиентские сертификаты с помощью keycloak и CRL/OCSP. Статья рассчитана на людей, которые ранее были знакомы с IAM и, в частности, с keycloak-ом. Поэтому в этой части не будет «базы» по SAML2, OAuth2/OIDC и в целом по IAM (на Хабре есть хорошие статьи на эту тему). Также для понимания данной статьи необходимы знания базовых абстракций kubernetes и умение читать его манифесты. В ресерче материалов для данного поста и реализации данной технологии на проде принимали участие еще несколько человек. Указать их соавторами на Хабре нет возможности, поэтому озвучу их тут: Ян Краснов, Иван Николаев, Максим Сушков, Иван Кодянов.
https://habr.com/ru/companies/kaspersky/articles/846326/
#keycloak #k8s #mtls #crl #oscp #nginx #x509_v3 #devops #devsecops
-
Б значит не Безумие, а Безопасность: часть 2 — перезагрузка
Что-то было модно, что-то вышло из моды, а что-то вечно и вечность в нашей статье — это кибербезопасность. В рамках серии статей хотелось бы поговорить об этом и поделиться нашим опытом. Во второй части я продолжу рассказ про проект, с которым мы уже познакомились ранее 1. Напомню про требования: 2. Замкнутый контур; 3. Отсутствие CVE во всех используемых продуктах; 4. Контроль безопасности уже имеющейся инфраструктуры; 5. Контроль доступа до среды; 6. Автоматизация процессов. Но как быть, если ваша инфраструктура располагается в рамках kubernetes оркестратора? Как быть, если вы используете managed решение? Какие подходы для организации безопасности будут применимы? Под катом — про это, а еще про Managed Service for Kubernetes и Yandex Cloud , Kyverno , Tetragon , Falco и многое другое. Давайте посмотрим, что было дальше? Что было дальше?
https://habr.com/ru/companies/nixys/articles/780028/
#devops #devsecops #security #kyverno #kubernetes #helm #mtls #rbac #falco #Tetragon
-
Маршрутизация силами Haproxy, DoH, GeoIP, защита сервисов через mTLS и выгрузка метрик в Prometheus, настройка ACME.SH
Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.
-
Маршрутизация силами Haproxy, DoH, GeoIP, защита сервисов через mTLS и выгрузка метрик в Prometheus, настройка ACME.SH
Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.
