Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
SI APPLICA A:
2015 2019 Subscription Edition
I protocolli Transport Layer Security (TLS) e MTLS (Mutual Transport Layer Security) forniscono comunicazioni crittografate e autenticazione endpoint su Internet. Skype for Business Server utilizza questi due protocolli per creare la rete di server attendibili e garantire che tutte le comunicazioni in tale rete siano crittografate. Tutte le comunicazioni SIP tra server si verificano su MTLS. Le comunicazioni SIP da client a server si verificano su TLS.
TLS consente agli utenti, tramite il software client, di autenticare i server Skype for Business Server a cui si connettono. In una connessione TLS, il client richiede un certificato valido dal server. Per essere valido, il certificato deve essere stato emesso da una CA che sia anche considerata affidabile dal client e il nome DNS del server deve corrispondere al nome DNS sul certificato. Se il certificato è valido, il client utilizza la chiave pubblica nel certificato per crittografare le chiavi di crittografia simmetriche da utilizzare per la comunicazione, quindi solo il proprietario originale del certificato può utilizzare la propria chiave privata per decrittografare il contenuto della comunicazione. La connessione risultante è affidabile e da quel momento non viene contestata da altri server o client affidabili. In questo contesto, il Secure Sockets Layer (SSL) utilizzato con i servizi web può essere associato come basato su TLS.
Le connessioni da server a server si basano su MTLS per l'autenticazione reciproca. Su una connessione MTLS, il server che genera un messaggio e il server che lo riceve si scambiano i certificati da una CA reciprocamente attendibile. I certificati dimostrano l'identità di ciascun server all'altro. Nelle distribuzioni Skype for Business Server, i certificati emessi dalla CA aziendale che sono durante il periodo di validità e non revocati dalla CA emittente vengono automaticamente considerati validi da tutti i client e server interni perché tutti i membri di un dominio active directory considerano attendibile la CA enterprise in tale dominio. Negli scenari federati, la CA emittente deve essere attendibile da entrambi i partner federati. Ogni partner può utilizzare una CA diversa, se lo si desidera, purché tale CA sia considerata attendibile anche dall'altro partner. Questa attendibilità è più facile da ottenere dai server perimetrali che hanno il certificato CA radice del partner nelle ca radice attendibili o tramite un'AUTORITÀ di certificazione di terze parti attendibile da entrambe le parti.
TLS e MTLS consentono di impedire sia gli attacchi di intercettazione sia gli attacchi man-in-the-middle. In un attacco man-in-the-middle, l'utente malintenzionato dirige le comunicazioni tra due entità di rete attraverso il computer dell'utente malintenzionato all'insaputa delle due parti. TLS e Skype for Business Server specifica dei server attendibili (solo quelli specificati in Topology Builder) attenuano il rischio di un attacco man-in-the-middle parzialmente sul livello dell'applicazione usando la crittografia end-to-end coordinata usando la crittografia a chiave pubblica tra i due endpoint e un utente malintenzionato dovrebbe avere un certificato valido e attendibile con la chiave privata corrispondente e rilasciato al nome del al quale il client comunica per decrittografare la comunicazione. In ultima analisi, tuttavia, è necessario seguire le procedure di sicurezza consigliate con l'infrastruttura di rete (in questo caso il DNS aziendale). Skype for Business Server presuppone che il server DNS sia attendibile allo stesso modo in cui i controller di dominio e i cataloghi globali sono attendibili, ma il DNS offre un livello di protezione dagli attacchi di dirottamento DNS impedendo al server dell'autore dell'attacco di rispondere correttamente a una richiesta di nome oggetto di spoofing.