Suporte para mTLS para Secure
Mutual Transport Layer Security (mTLS), também conhecido como Mutual Authentication, é um método de autenticação que valida o certificado digital de ambos os lados de uma requisição, tanto do lado do cliente como do lado do Edge (servidor).
Com o mTLS ativado, a Azion checa o certificado do navegador do usuário e o valida com o certificado Trusted Certificate (Trusted CA) da sua Edge Application no Edge.
mTLS é opcional para aplicações que utilizam protocolos TLS. No entanto, ele promete um handshake TLS mais seguro, além de ser um requisito do Open Banking.
Pré-requisitos
É necessário que sua Edge Application esteja operando com protocolo Hypertext Transfer Protocol Secure (HTTPS). O Azion Console permite configurar mTLS em aplicações rodando apenas com HTTP (sem a camada de criptografia TLS). No entanto, mTLS exige uma conexão HTTPS para funcionar.
As opções de protocolo estão disponíveis na página de configuração da sua Edge Application no Azion Console.
Consulte o guia associar um certificado mTLS a um domínioCertificado Digital com suporte para mTLS (Trusted CA)
Para configurar o mTLS em sua Edge Application, você precisa de um Digital Certificate com suporte para mTLS, gerado por uma Autoridade de certificação terceira. Na Azion, chamamos esse certificado de Trusted CA.
Selecione ou adicione um novo Domain e certifique-se de que a opção mTLS está ativada. Em seguida, selecione o Trusted CA adicionado anteriormente.
Os certificados gratuitos, gerados internamente pela Azion (Azion [SAN]), não têm suporte para mTLS.
Para usar o modo Enforce do mTLS, é necessário utilizar a extensão para protocolos TLS, Server Name Indication (SNI).
As conexões sem SNI são conectadas a uma configuração padrão que, no momento do handshake TLS, entrega o certificado Azion SAN.
Quando temos requisições sem SNI para um Domain com mTLS no modo Enforce, a conexão é interrompida antes que a rota da sua Edge Application seja resolvida.
Certifique-se que suas Edge Applications sempre usem SNI nas solicitações.
Como funciona o mTLS na Azion
A configuração padrão do mTLS bloqueia os acessos cuja identidade do usuário não puder ser verificada.
Se sua aplicação precisa de necessidades de acesso especiais, é necessário configurar uma verificação permissiva (Permissive mTLS). A verificação permissiva pode ser configurada na página Domains.
Você também pode alterar e especificar as header variables do seu mTLS para atender aos requisitos do Open Banking. Isso pode ser feito na página de configuração do Edge Application, dentro do Azion Console.
A lista de variáveis aceitas está disponível na página Rules Engine para Edge Application.
Limites
Certificados
Estes são os limites default para cada Plano de Serviço:
Developer | Business | Enterprise | Mission Critical |
---|---|---|---|
100 | 100 | 100 | 1.000 |