TLS e MTLS para o Skype for Business ServerTLS and MTLS for Skype for Business Server

Os protocolos Transport Layer Security (TLS) e Mutual Transport Layer Security (MTLS) fornecem comunicações criptografadas e autenticação de ponto de extremidade na Internet.Transport Layer Security (TLS) and Mutual Transport Layer Security (MTLS) protocols provide encrypted communications and endpoint authentication on the Internet. O Skype for Business Server usa esses dois protocolos para criar a rede de servidores confiáveis e garantir que todas as comunicações na rede sejam criptografadas.Skype for Business Server uses these two protocols to create the network of trusted servers and to ensure that all communications over that network are encrypted. Todas as comunicações SIP entre servidores ocorrem no MTLS.All SIP communications between servers occur over MTLS. As comunicações SIP entre o cliente e o servidor ocorrem no TLS.SIP communications from client to server occur over TLS.

O TLS permite que os usuários, por meio do software cliente, autentiquem os servidores do Skype for Business Server aos quais se conectam.TLS enables users, through their client software, to authenticate the Skype for Business Server servers to which they connect. Em uma conexão TLS, o cliente solicita um certificado válido do servidor.On a TLS connection, the client requests a valid certificate from the server. Para ser válido, o certificado deve ser emitido por uma AC considerada confiável pelo cliente, e o nome DNS do servidor deve corresponder ao nome DNS no certificado.To be valid, the certificate must have been issued by a CA that is also trusted by the client and the DNS name of the server must match the DNS name on the certificate. Se o certificado for válido, o cliente usa a chave pública no certificado para criptografar as chaves de criptografia simétricas a serem utilizadas na comunicação, assim, apenas o proprietário original do certificado pode utilizar sua chave privada para descriptografar os conteúdos de comunicação.If the certificate is valid, the client uses the public key in the certificate to encrypt the symmetric encryption keys to be used for the communication, so only the original owner of the certificate can use its private key to decrypt the contents of the communication. A conexão resultante é confiável e, a partir desse momento, não será desafiada por nenhum outro servidor ou cliente confiável.The resulting connection is trusted and from that point is not challenged by other trusted servers or clients. Nesse contexto, a Secure Sockets Layer (SSL), conforme utilizada com serviços os Web, pode ser associada ao protocolo baseado em TLS.Within this context, Secure Sockets Layer (SSL) as used with Web services can be associated as TLS-based.

Conexões de servidor para servidor baseiam-se em MTLS para autenticação mútua.Server-to-server connections rely on MTLS for mutual authentication. Em uma conexão MTLS, o servidor que cria a mensagem e o servidor que a recebe trocam certificados mutuamente a partir de uma AC confiável.On an MTLS connection, the server originating a message and the server receiving it exchange certificates from a mutually trusted CA. Os certificados comprovam a identidade de cada servidor ao outro.The certificates prove the identity of each server to the other. Nas implantações do Skype for Business Server, os certificados emitidos pela CA corporativa que estão durante o período de validade e não revogados pela CA de emissão são automaticamente considerados válidos por todos os clientes e servidores internos, pois todos os membros de um Domínio Directory confia na CA da empresa nesse domínio.In Skype for Business Server deployments, certificates issued by the enterprise CA that are during their validity period and not revoked by the issuing CA are automatically considered valid by all internal clients and servers because all members of an Active Directory domain trust the Enterprise CA in that domain. Em cenários federados, a AC emissora deve ser confiável por ambos os parceiros federados.In federated scenarios, the issuing CA must be trusted by both federated partners. Cada parceiro pode usar uma AC diferente, se desejado, contanto que a AC também seja considerada confiável pelo outro parceiro.Each partner can use a different CA, if desired, so long as that CA is also trusted by the other partner. Essa confiança é realizada com facilidade pelos servidores de borda com o certificado da autoridade de certificação raiz do parceiro nas CAs raiz confiáveis, ou por meio de uma autoridade de certificação de terceiros que é confiável para ambas as partes.This trust is most easily accomplished by the Edge Servers having the partner's root CA certificate in their trusted root CAs, or by use of a third-party CA that is trusted by both parties.

O TLS e MTLS ajudam a evitar a espionagem e ataques a intermediários.TLS and MTLS help prevent both eavesdropping and man-in-the middle attacks. Em um ataque man-in-Middle, o invasor redireciona as comunicações entre duas entidades de rede por meio do computador do invasor sem o conhecimento de ambas as partes.In a man-in-the-middle attack, the attacker reroutes communications between two network entities through the attacker's computer without the knowledge of either party. Especificação de servidores confiáveis do TLS e do Skype for Business Server (somente aqueles especificados no construtor de topologia) reduzem o risco de um ataque man-in-the Middle parcialmente na camada do aplicativo usando a criptografia ponto a ponto coordenada usando a chave pública a criptografia entre os dois pontos de extremidade e um invasor precisa ter um certificado válido e confiável com a chave privada correspondente e emitida para o nome do serviço ao qual o cliente está se comunicando para descriptografar a comunicação.TLS and Skype for Business Server specification of trusted servers (only those specified in Topology Builder) mitigate the risk of a man-in-the middle attack partially on the application layer by using end-to-end encryption coordinated using the Public Key cryptography between the two endpoints, and an attacker would have to have a valid and trusted certificate with the corresponding private key and issued to the name of the service to which the client is communicating to decrypt the communication. Em última análise, entretanto, você deve cumprir as práticas recomendadas de segurança em sua infraestrutura de rede (no caso de um DNS corporativo).Ultimately, however, you must follow best security practices with your networking infrastructure (in this case corporate DNS). O Skype for Business Server pressupõe que o servidor DNS é confiável da mesma forma que os controladores de domínio e os catálogos globais são confiáveis, mas o DNS fornece um nível de segurança contra ataques de seqüestro de DNS impedindo que o servidor de um invasor responda êxito em uma solicitação para o nome falso.Skype for Business Server assumes that the DNS server is trusted in the same way that domain controllers and global catalogs are trusted, but DNS does provide a level of safeguard against DNS hijack attacks by preventing an attacker's server from responding successfully to a request to the spoofed name.