TLS y MTLS para Skype Empresarial Server 2015TLS and MTLS for Skype for Business Server 2015

Los protocolos de Seguridad de la capa de transporte (TLS) y Seguridad de la capa de transporte mutua (MTLS) ofrecen comunicaciones cifradas y autenticación de extremos en Internet.Transport Layer Security (TLS) and Mutual Transport Layer Security (MTLS) protocols provide encrypted communications and endpoint authentication on the Internet. Skype para Business Server 2015 usa estos dos protocolos para crear la red de servidores de confianza y para garantizar que se cifran todas las comunicaciones a través de esa red.Skype for Business Server 2015 uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Todas las comunicaciones SIP entre los servidores se llevan a cabo a través de MTLS.All SIP communications between servers occur over MTLS. Las comunicaciones SIP entre el cliente y el servidor se realizan a través de TLS.SIP communications from client to server occur over TLS.

TLS permite a los usuarios, a través de su software de cliente autenticar el Skype para servidores Business Server 2015 al que se conectan.TLS enables users, through their client software, to authenticate the Skype for Business Server 2015 servers to which they connect. En una conexión TLS, el cliente solicita un certificado desde el servidor.On a TLS connection, the client requests a valid certificate from the server. Para ser válido, el certificado debe haber sido emitido por una CA que también es de confianza para el cliente y el nombre DNS del servidor debe coincidir con el nombre DNS en el certificado.To be valid, the certificate must have been issued by a CA that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Si el certificado es válido, el que usa la clave pública en el certificado para cifrar el cifrado simétrico de claves que se utilizará para la comunicación, por lo que sólo el propietario original del certificado puede utilizar su clave privada para descifrar el contenido de la comunicación.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. La conexión resultante es de confianza y desde ese punto es desafiada por otros clientes o servidores de confianza.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients. En este contexto, se puede asociar como TLS con Secure Sockets Layer (SSL) como se utiliza con los servicios Web.Within this context, Secure Sockets Layer (SSL) as used with Web services can be associated as TLS-based.

Las conexiones entre servidores dependen de MTLS para la autenticación mutua.Server-to-server connections rely on MTLS for mutual authentication. En una conexión MTLS, el servidor de origen de un mensaje y el que lo recibe intercambian certificados procedentes de una CA de confianza para ambos.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Los certificados permiten a los servidores demostrarse mutuamente sus identidades.The certificates prove the identity of each server to the other. En Skype para implementaciones de servidor de negocios 2015, los certificados emitidos por la entidad emisora de certificados de empresa que están durante su validez período y no revocado por la entidad emisora se considerarán automáticamente como válidos por todos los clientes y servidores internos porque todos los miembros de un activo Directorio dominio confía en la CA de empresa de ese dominio.In Skype for Business Server 2015 deployments, certificates issued by the enterprise CA that are during their validity period and not revoked by the issuing CA are automatically considered valid by all internal clients and servers because all members of an Active Directory domain trust the Enterprise CA in that domain. En los escenarios de federación, ambos socios federados deben confiar en la CA que emite los certificados.In federated scenarios, the issuing CA must be trusted by both federated partners. Si así lo desea, cada socio puede utilizar una CA diferente, siempre y cuando el otro socio también confíe en esa CA.Each partner can use a different CA, if desired, so long as that CA is also trusted by the other partner. Esta confianza se consigue más fácilmente los servidores de borde con el certificado de entidad emisora raíz del socio en su entidades emisoras de certificados raíz de confianza o por el uso de una CA de terceros que sea de confianza por ambas partes.This trust is most easily accomplished by the Edge Servers having the partner's root CA certificate in their trusted root CAs, or by use of a third-party CA that is trusted by both parties.

TLS y MTLS ayudan a evitar los ataques de interceptación y de tipo "Man in the middle".TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. En un ataque de intermediario, el atacante redirige las comunicaciones entre dos entidades de red a través del equipo del atacante sin el conocimiento de cualquiera de las partes.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. TLS y Skype para Business Server 2015 especificación de servidores de confianza (sólo los especificados en el generador de topología) reducir el riesgo de un hombre en el medio del ataque parcialmente en la capa de aplicación utilizando el cifrado end-to-end coordinado mediante la clave pública la criptografía entre los dos extremos y un atacante tendría que tener un certificado válido y de confianza con la clave privada correspondiente y emitido para el nombre del servicio a la que se comunica el cliente para descifrar la comunicación.TLS and Skype for Business Server 2015 specification of trusted servers (only those specified in Topology Builder) mitigate the risk of a man-in-the middle attack partially on the application layer by using end-to-end encryption coordinated using the Public Key cryptography between the two endpoints, and an attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication. En todo caso, usted deberá seguir buenas prácticas de seguridad en su infraestructura de red (en este caso, DNS empresarial).Ultimately, however, you must follow best security practices with your networking infrastructure (in this case corporate DNS). Skype para Business Server 2015 se supone que es de confianza para el servidor DNS de la misma manera que los controladores de dominio y catálogos globales son de confianza, pero proporciona un nivel de protección contra los ataques de secuestro DNS, DNS impide que un servidor del atacante responder correctamente a una solicitud para el nombre falso.Skype for Business Server 2015 assumes that the DNS server is trusted in the same way that domain controllers and global catalogs are trusted, but DNS does provide a level of safeguard against DNS hijack attacks by preventing an attacker's server from responding successfully to a request to the spoofed name.