TLS y MTLS para Skype Empresarial ServerTLS and MTLS for Skype for Business Server

Los protocolos Seguridad de la capa de transporte (TLS) y Seguridad de la capa de transporte mutua (MTLS) proporcionan comunicaciones cifradas y autenticación de extremos en Internet.Transport Layer Security (TLS) and Mutual Transport Layer Security (MTLS) protocols provide encrypted communications and endpoint authentication on the Internet. Skype Empresarial Server usa estos dos protocolos para crear la red de servidores de confianza y para garantizar que todas las comunicaciones a través de esa red estén cifradas.Skype for Business Server uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Todas las comunicaciones SIP entre servidores se producen a través de MTLS.All SIP communications between servers occur over MTLS. Las comunicaciones SIP de cliente a servidor se producen a través de TLS.SIP communications from client to server occur over TLS.

TLS permite a los usuarios, a través de su software cliente, autenticar los servidores de Skype Empresarial Server a los que se conectan.TLS enables users, through their client software, to authenticate the Skype for Business Server servers to which they connect. En una conexión TLS, el cliente solicita un certificado válido al servidor.On a TLS connection, the client requests a valid certificate from the server. Para ser válido, el certificado debe haber sido emitido por una CA que también sea de confianza para el cliente y el nombre DNS del servidor debe coincidir con el nombre DNS del certificado.To be valid, the certificate must have been issued by a CA that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Si el certificado es válido, el cliente usa la clave pública del certificado para cifrar las claves de cifrado simétricas que se usarán para la comunicación, por lo que solo el propietario original del certificado puede usar su clave privada para descifrar el contenido de la comunicación.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. La conexión resultante es de confianza y, desde ese punto, otros servidores o clientes de confianza no lo prueban.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients. En este contexto, la Capa de sockets seguros (SSL) como se usa con los servicios web se puede asociar como basada en TLS.Within this context, Secure Sockets Layer (SSL) as used with Web services can be associated as TLS-based.

Las conexiones de servidor a servidor dependen de MTLS para la autenticación mutua.Server-to-server connections rely on MTLS for mutual authentication. En una conexión MTLS, el servidor que origina un mensaje y el servidor que lo recibe intercambian certificados de una CA de confianza mutua.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Los certificados demuestran la identidad de cada servidor al otro.The certificates prove the identity of each server to the other. En las implementaciones de Skype Empresarial Server, todos los clientes internos y servidores consideran que los certificados emitidos por la CA de empresa que están durante su período de validez y que la CA emisora no revoca son considerados automáticamente válidos por todos los clientes internos y servidores porque todos los miembros de un dominio de Active Directory confían en la CA de empresa en ese dominio.In Skype for Business Server deployments, certificates issued by the enterprise CA that are during their validity period and not revoked by the issuing CA are automatically considered valid by all internal clients and servers because all members of an Active Directory domain trust the Enterprise CA in that domain. En escenarios federados, la CA emisora debe ser de confianza para ambos socios federados.In federated scenarios, the issuing CA must be trusted by both federated partners. Cada asociado puede usar una CA diferente, si lo desea, siempre y cuando esa CA también sea de confianza para el otro asociado.Each partner can use a different CA, if desired, so long as that CA is also trusted by the other partner. Esta confianza la logran con mayor facilidad los servidores perimetrales que tienen el certificado de ca raíz del asociado en sus CA raíz de confianza, o mediante el uso de una CA de terceros en la que ambas partes confíen.This trust is most easily accomplished by the Edge Servers having the partner's root CA certificate in their trusted root CAs, or by use of a third-party CA that is trusted by both parties.

TLS y MTLS ayudan a evitar ataques de interceptación y ataques de tipo "Man in the middle".TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. En un ataque de tipo "man in the middle", el atacante vuelve a enrutar las comunicaciones entre dos entidades de red a través del equipo del atacante sin el conocimiento de ninguna de las partes.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. La especificación tls y Skype Empresarial Server de servidores de confianza (solo los especificados en el Generador de topologías) mitigan el riesgo de un ataque de intermediario parcialmente en el nivel de la aplicación mediante el cifrado de un extremo a otro coordinado con la criptografía de clave pública entre los dos extremos, y un atacante tendría que tener un certificado válido y de confianza con la clave privada correspondiente y emitido al nombre del servicio al que se comunica el cliente para descifrar la comunicación.TLS and Skype for Business Server specification of trusted servers (only those specified in Topology Builder) mitigate the risk of a man-in-the middle attack partially on the application layer by using end-to-end encryption coordinated using the Public Key cryptography between the two endpoints, and an attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication. En última instancia, sin embargo, debe seguir los procedimientos de seguridad recomendados con su infraestructura de red (en este caso, DNS corporativo).Ultimately, however, you must follow best security practices with your networking infrastructure (in this case corporate DNS). Skype Empresarial Server asume que el servidor DNS es de confianza de la misma manera que los controladores de dominio y los catálogos globales son de confianza, pero DNS proporciona un nivel de protección contra ataques de secuestro de DNS al impedir que el servidor de un atacante responda correctamente a una solicitud al nombre suplantado.Skype for Business Server assumes that the DNS server is trusted in the same way that domain controllers and global catalogs are trusted, but DNS does provide a level of safeguard against DNS hijack attacks by preventing an attacker's server from responding successfully to a request to the spoofed name.