#mtls — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #mtls, aggregated by home.social.
-
Вход по УКЭП в корпоративных системах: практическая архитектура
Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.
-
mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов
Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать
https://habr.com/ru/articles/1025856/
#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность
-
Tinkering with #mTLS today.
I was able to use it to secure #wavelog and it seems to work as expected, but trying to do the same with #homeassistant , on the other hand, broke access entirely.
What's frustrating is that there seems to be very little feedback when it doesn't work. Server logs didn't show any unauthorized access attempts, the browser just kept timing out.
I was initially hoping that I could use mTLS to securely access some of my private services without my VPN, but I'm also finding that many applications (like #symfonium) don't support mTLS, anyway. Is it worth continuing to try to make it work? I haven't decided.
-
Гайд по быстрому мониторингу Linux-хостов в Grafana без Zabbix
Всем привет! Меня зовут Анатолий Зотов, я системный архитектор SOC в RED Security. Как центр мониторинга и реагирования на кибератаки, мы должны быстро и внятно видеть, что происходит с железом и ОС на хостах: не кончается ли место на диске, не улетела ли память и не уперся ли CPU в потолок. Как это реализовать, да еще и безопасно? Когда мы только приступали к задаче, первой мыслью, конечно, был Zabbix, как и у половины планеты. Но у нас никто не горел желанием поднимать еще одну систему, раскатывать агенты, подбирать шаблоны и разбираться с нюансами. Времени, как обычно, не завезли. А вот Grafana у нас уже была, поэтому я подумал — а что, если просто использовать то, что уже есть? Так я и наткнулся на связку «node_exporter → Prometheus → Grafana». Эта статья для тех, кто хочет быстро начать мониторить хосты и не готов тратить вечность на внедрение тяжелой системы, особенно если Grafana уже живет в вашей инфраструктуре. Если Grafana и Prometheus у вас еще нет, то дополнительно расскажу быстрый старт через Docker Compose.
https://habr.com/ru/companies/ru_mts/articles/1008244/
#Prometheus #Grafana #Node_Exporter #мониторинг #Linux #системный_мониторинг #TLS #mTLS #Docker_Compose #observability
-
We need to simplify client certificates for IoT and MTLS. One way is to anchor client certs in DNS.
The IETF DANCE working group needs more energy to complete our work. Want to join? Get on the mailing list now and help out!
https://datatracker.ietf.org/group/dance/about/ -
Middleware Manager v4.1.2 giờ hoạt động độc lập với Traefik và hỗ trợ mTLS gốc cho từng tài nguyên/router. Nâng cấp đáng chú ý bao gồm:
- Quản lý dịch vụ/middleware tinh vi, hiệu suất ổn định hơn
- Hỗ trợ plugin nâng cao như mTLS, Bandwidth Limiter
- Giao diện người dùng tối ưu hóa với Dark Mode
- Tích hợp sâu với API Traefik#Traefik #MiddlewareManager #mTLS #SelfHosting #CôngNghệMới #TraefikPlugin #SecurityTech
https://www.reddit.com/r/selfhosted/comments/1qm8a4c/traefik_middleware
-
mTLS looks simple until you realize what it doesn’t protect you from.
A trusted client certificate is not the same thing as an allowed client.
If your Java service stops at “the handshake worked,” you’re leaving a gap attackers can walk through.I wrote up a hands-on Quarkus implementation that shows:
– where TLS ends
– where security should begin
– and how to enforce certificate rules before business logic runshttps://www.the-main-thread.com/p/quarkus-mtls-client-certificate-validation-java
-
Smart Wave = ocean telemetry at scale 🌍
RELIANOID = keeping it secure, fast, and always-on ⚡Just dropped a tech guide on how we load balance Smart Wave:
🔹 MQTT + REST + Web UI
🔹 mTLS + WAF + DoS protection
🔹 Prometheus + Grafana ready
🔹 Handles satellite links like a breezeRead it → https://www.relianoid.com/resources/knowledge-base/howtos/load-balancing-smart-wave-with-relianoid/
#RELIANOID #SmartWave #MaritimeIoT #Telemetry #BlueEconomy #DevOps #mTLS -
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Аутентификация клиентов в Angie с помощью TLS-сертификатов
Сегодня TLS используется повсеместно для безопасной передачи данных, и практически любой веб‑сайт работает по протоколу HTTPS. Но, кроме шифрования трафика, TLS позволяет реализовать аутентификацию клиентов по сертификату (mTLS). В этой статье мы настроим этот механизм на примере веб‑сервера Angie.
https://habr.com/ru/articles/981694/
#angie #mtls #ssl #tls #сертификаты #клиенсткие_сертификаты #взаимный_TLS
-
Flux-aio, Kubernetes mTLS и проблема курицы и яйца
Мы тут в Cozystack в очередной раз решаем проблему курицы и яйца: как задеплоить CNI и kube-proxy через Flux, но при этом обеспечить работу самого flux без CNI и kube-proxy. Сам Flux запустить без CNI и kube-proxy можно используя проект flux-aio (от создателя Flux), который запускает единый deployment со всеми контроллерами настроенными на коммуникацию друг с другом через localhost. Специфика Cozystack заключается в том, что на каждый кластер мы деплоим внутри небольшой HTTP-сервер с Helm-чартами и другими ассетами используемыми в платформе. Flux эти чарты читает и устанавливает в систему. Но вот как организовать доступ флюксу к внутреннему HTTP-серверу, запущенному как под внутри того же кластера?
-
@patrickcmiller and still only @Viss recommends putting #ExchangeServer behind #HAProxy with #mTLS
-
NEW BLOGPOST!
It's been a while! Very happy to share this mTLS in-depth tutorial. Lots of subjects in this one: password managers, TLS, mTLS of course, @traefik, @bitwarden, @vaultwarden_releases, Smallstep's CLI...
https://zoug.fr/mtls-bitwarden-vaultwarden-traefik-smallstep/
Don't hesitate to reply to this post: it'll help me test that the comments section works fine (and I'd greatly appreciate some feedback :))
#mtls #https #tls #passwordmanager #password #bitwarden #vaultwarden #traefik #smallstepca
-
🏦 **Představuji: RBC Premium API Python Library v1.0.2**
Po dlouhé práci jsem dokončil a vydal kompletní Python client knihovnu pro Premium API Raiffeisenbank České republiky. Tato knihovna významně zjednodušuje integraci s bankovními službami pro české vývojáře a firmy.
🎯 **Co knihovna nabízí:**
**Kompletní API pokrytí:**
• Správa účtů a zůstatků
• Přehledy transakcí (včetně spořicích účtů)
• Import plateb
• Stahování výpisů
• Aktuální FX kurzy
• Batch operace**Profesionální implementace:**
• Automaticky generováno z OpenAPI 3.0 specifikace
• Plná podpora mTLS autentizace s PKCS#12 certifikáty
• Type hints pro bezpečný vývoj
• Komprehenzivní error handling
• Dodržování rate limitů (10/s, 5000/den)**Developer Experience:**
• 14 praktických příkladů použití
• Kompletní dokumentace všech endpoints
• Snadná instalace přes pip
• Podpora Python 3.9+🔧 **Technické detaily:**
Knihovna je postavena na OpenAPI Generator 7.13.0 s vlastními šablonami optimalizovanými pro Python. Řeší běžné problémy s imports, forward references a poskytuje utility pro extrakci certifikátů z P12 souborů.📈 **Proč je to důležité:**
V době digitalizace bankovnictví potřebují firmy spolehlivé nástroje pro integraci s bankovními API. Tato knihovna odstraňuje technické bariéry a umožňuje vývojářům soustředit se na business logiku místo na low-level HTTP komunikaci. (+ jsem se na tom naučil commandovat copilota na složitějším projektu)📦 **Jak začít:**
```bash
pip install rbczpremiumapi
```Více informací, příklady a dokumentace najdete na:
🔗 PyPI: https://pypi.org/project/rbczpremiumapi/
🔗 GitHub: https://github.com/Vitexus/python-rbczpremiumapiTěším se na vaše zpětné vazby a případné příspěvky k dalšímu rozvoji!
#Python #API #Banking #FinTech #OpenSource #RaiffeisenBank #VitexSoftware #CzechTech #OpenAPI #mTLS #PKCS12
-
Smart Wave = ocean telemetry at scale 🌍
RELIANOID = keeping it secure, fast, and always-on ⚡Just dropped a tech guide on how we load balance Smart Wave:
🔹 MQTT + REST + Web UI
🔹 mTLS + WAF + DoS protection
🔹 Prometheus + Grafana ready
🔹 Handles satellite links like a breezeRead it → https://www.relianoid.com/resources/knowledge-base/howtos/load-balancing-smart-wave-with-relianoid/
#RELIANOID #SmartWave #MaritimeIoT #Telemetry #BlueEconomy #DevOps #mTLS -
🧵 Nova Scotia Power got hit with a big data breach.
💥 Customer data stolen
💥 Phone & billing systems offlineWhen infra goes down, trust goes too.
RELIANOID helps prevent this:
✅ Reverse proxy protection
✅ Encrypted traffic (mTLS)
✅ Zero-downtime updates
✅ 24/7 expert supportIf you're running critical systems — secure them before someone else breaks in.
#CyberSecurity #CriticalInfrastructure #Utilities #DataBreach #ZeroDowntime #RELIANOID #mTLS #NetworkSecurity
-
Firefox *finally* supports mTLS / SSL client certificates on Android! 🥳
It only took a dozen years, but who is counting. (Me. I was counting.)
That was a blocker in some of my use cases still forcing Chrome, so ... 🎉
https://bugzilla.mozilla.org/show_bug.cgi?id=868370
#mTLS #SSL #Firefox #Mozilla #MozillaFirefox #OpenSource #Android #Chrome
-
Маршрутизация силами Haproxy, DoH, GeoIP, защита сервисов через mTLS и выгрузка метрик в Prometheus, настройка ACME.SH
Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.
-
In my journey on #selfhosting and securing my VPS, I was able to setup #mTLS on #nginx , but on a Mac it’s barely usable.
Browser keeps asking for username and password to access system keychain, no matter what I do.
Am I missing something? -
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
[Перевод] Istio для практиков: как упростить управление микросервисами
Статья посвящена Istio — платформе для создания service mesh. Она объясняет ключевые функции инструмента: управление трафиком, защита коммуникаций через mTLS и сбор метрик для мониторинга. Также рассматриваются примеры конфигурации: как Istio помогает в управлении сетевыми взаимодействиями и повышает устойчивость систем. Узнайте, помогает ли Istio в работе с распределёнными системами.
https://habr.com/ru/companies/flant/articles/862920/
#istio #service_mesh #сервисмеш #envoyproxy #envoy #mtls #DestinationRule #VirtualService #Service_Entry #сеть
-
🔐 mTLS: Mutual Trust for Secure Connections 🔐
In mTLS, both client and server authenticate each other with verified certificates, creating a trusted, encrypted communication channel. Perfect for high-security environments! #mTLS #Cybersecurity #SecureConnections #Encryption
#mTLS #Cybersecurity #NetworkSecurity #TLS #MutualAuthentication #SecureCommunication #DataEncryption
-
Mutual Transport Layer Security (mTLS), or Two-Way TLS, adds an extra layer of security by ensuring both the client and server authenticate each other using digital certificates.
By implementing mTLS, organizations can significantly enhance the security and trustworthiness of their communications.
#CyberSecurity #TLS #mTLS #DataProtection #SecureCommunications #B2BSecurity #APISecurity #TechInnovation -
Look at the sidecar-less service mesh in #Istio, featuring an innovative two-layer design. The key advantages of this are the live demos on enforcing #mTLS and rich #L7authorization policies without sidecars.
-
Look at the sidecar-less service mesh in #Istio, featuring an innovative two-layer design. The key advantages of this are the live demos on enforcing #mTLS and rich #L7authorization policies without sidecars.
-
Lots of useful information in this article for both #researchers and #pentesters (and #defenders of course)
#mTLS: When certificate authentication is done wrong
https://github.blog/2023-08-17-mtls-when-certificate-authentication-is-done-wrong/
