Вход по УКЭП в корпоративных системах: практическая архитектура

Почти в каждой крупной корпоративной или государственной системе рано или поздно возникает задача — авторизация с использованием усиленной квалифицированной электронной подписи (УКЭП) На первый взгляд это выглядит как «добавить проверку сертификата при входе». Но в реальности задача быстро превращается в архитектурную: приходится решать целый комплекс вопросов — от проверки сертификатов до поддержки разных устройств. И каждый из них добавляет определенный набор требований: - где и как проверять сертификаты; - как организовать доверие к удостоверяющим центрам; - как встроить УКЭП в веб-приложения; - как обеспечить масштабирование и эксплуатацию; - как работать с разными типами клиентов и устройств. В этой статье разберем практическую архитектуру входа по УКЭП, которую можно внедрить в существующую инфраструктуру без изменения кода основных приложений — достаточно добавить специализированный шлюз и настроить компоненты проверки сертификатов.

https://habr.com/ru/articles/1028582/

#укэп #mtls #pki #oidc #аутентификация #криптография_гост

mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

https://habr.com/ru/articles/1025856/

#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

Holy crap! This is not a drill!

Mutual TLS now available on HA for macOS.

Now just need Jellyfin and Finamp and everything else to follow suit.

#HomeAssistant #mTLS

Tinkering with #mTLS today.

I was able to use it to secure #wavelog and it seems to work as expected, but trying to do the same with #homeassistant , on the other hand, broke access entirely.

What's frustrating is that there seems to be very little feedback when it doesn't work. Server logs didn't show any unauthorized access attempts, the browser just kept timing out.

I was initially hoping that I could use mTLS to securely access some of my private services without my VPN, but I'm also finding that many applications (like #symfonium) don't support mTLS, anyway.  Is it worth continuing to try to make it work?   I haven't decided.

Гайд по быстрому мониторингу Linux-хостов в Grafana без Zabbix

Всем привет! Меня зовут Анатолий Зотов, я системный архитектор SOC в RED Security. Как центр мониторинга и реагирования на кибератаки, мы должны быстро и внятно видеть, что происходит с железом и ОС на хостах: не кончается ли место на диске, не улетела ли память и не уперся ли CPU в потолок. Как это реализовать, да еще и безопасно? Когда мы только приступали к задаче, первой мыслью, конечно, был Zabbix, как и у половины планеты. Но у нас никто не горел желанием поднимать еще одну систему, раскатывать агенты, подбирать шаблоны и разбираться с нюансами. Времени, как обычно, не завезли. А вот Grafana у нас уже была, поэтому я подумал — а что, если просто использовать то, что уже есть? Так я и наткнулся на связку «node_exporter → Prometheus → Grafana». Эта статья для тех, кто хочет быстро начать мониторить хосты и не готов тратить вечность на внедрение тяжелой системы, особенно если Grafana уже живет в вашей инфраструктуре. Если Grafana и Prometheus у вас еще нет, то дополнительно расскажу быстрый старт через Docker Compose.

https://habr.com/ru/companies/ru_mts/articles/1008244/

#Prometheus #Grafana #Node_Exporter #мониторинг #Linux #системный_мониторинг #TLS #mTLS #Docker_Compose #observability

Stop relying on passwords alone! 🛡️ Learn how to implement per-ingress #mTLS with #Traefik using native TLSOption CRDs for zero-trust #Kubernetes security. Fine-grained control, no overkill. 👇

https://devopstales.github.io/kubernetes/mtls-traefik-ingress/

#ZeroTrust #DevSecOps #CloudNative

Lock down specific services with #mTLS on #NGINX Ingress! 🛡️ My guide covers per #ingress client cert validation, secret management & annotation tips for #Kubernetes. #ZeroTrust starts here:

https://devopstales.github.io/kubernetes/mtls-nginx-ingress/?utm_source=mastodon&utm_medium=social

Huh, just learned when configuring nginx with mTLS support and the certificates revocation list 'next update' field slips into the past you get "The SSL certificate error" 400 response.

Quite an experience experimenting with mTLS and a self hosted PKI. On a pro side: It never broke seriously. And if it breaks it is mostly something gets outdated.

#mTLS

今天下午折腾了一下Cloudflare mTLS结合vaultwarden，感觉很有趣很有用

什么是 mutual TLS (mTLS)？mutual TLS (mTLS) 是一种身份验证类型，其中连接中的两方使用 TLS 协议相互验证。

#mTLS