Giao thức TLS và MTLS cung cấp mã hóa các thông báo và xác thực điểm đầu nút trên Internet. Microsoft Lync Server 2010 dùng hai phương thức này để tạo ra mạng lưới các server đáng tin cậy và để đảm bảo rằng tất cả các thông báo qua mạng đó đều được mã hóa. Tất cả các thông báo SIP giữa các server xảy ra trên MTLS, còn các thông báo SIP từ client tới server xảy ra trên TLS.
TLS cho phép người sử dụng, thông qua phần mềm client của họ để xác thực server Microsoft Lync Server 2010 mà họ kết nối tới. Trên một kết nối TLS, client yêu cầu một chứng nhận hợp lệ từ server. Để được hợp lệ, giấy chứng nhận đó phải được cấp bởi CA cũng được tin cậy bởi client và tên miền của server phải tương xứng với tên miền on giấy chứng nhận. Nếu giấy chứng nhận hợp lệ, client sẽ sử dụng khóa public trên giấy chứng nhận để mã hóa các khóa mã đối xứng được dùng để giao tiếp, vì thế chỉ có những chủ sở hữu gốc giấy chứng nhận mới có thể dùng khóa riêng để giải mã các nội dung của thông báo. Các kết quả kết nối là đáng tin cậy và từ điểm đó không bị yêu cầu từ các server tin cậy khác hay các client. Trong phạm vi này, Secure Socket Layer (SSL) được sử dụng với các dịch vụ Web có thể liên quan như TLS-based.
Sự kết nối giữa server với server dựa vào MTLS cho sự xác thực lẫn nhau. Trên một kết nối MTLS, server phát một tin nhắn và server nhận tin nhắn đó trao đổi giấy chứng nhận từ một cơ quan chứng thực tin cậy lẫn nhau. Giấy chứng nhận chứng minh đặc trưng riêng của mỗi server với những cái khác. Trong triển khai Lync Server 2010, giấy chứng nhận do doanh nghiệp cơ quan chứng thực (CA) cấp phát mà đang trong thời hạn có hiệu lực và không bị thu hồi do CA phát hành thì sẽ tự động được coi là hợp lệ bằng tất cả các client và server nội bộ, bởi vì tất cả các thành viên của một miền AD tin cậy doanh nghiệp CA trong miền đó. Trong kịch bản liên đoàn, CA phát hành phải được tin cậy bởi cả hai đối tác liên đoàn. Mỗi đối tác có thể dùng một CA khác, nếu muốn, miễn là CA đó cũng đáng tin cậy với các đối tác khác. Sự tin cậy này là dễ dàng thực hiện nhất bởi Edge server có đối tác là CA gốc chứng nhận trong các CA đáng tin cậy của họ hoặc bằng cách sử dụng một CA bên thứ ba được tin cậy bởi cả hai bên.
TLS và MTLS giúp ngăn ngừa cả nghe trộm và những man-in-the middle tại trang webtack. Trong một man-in-the-middle tại trang webtack, kẻ tấn công sẽ định tuyến lại những truyền thông giữa hai thực thể mạng thông qua máy tính của kẻ tấn công mà không cần hiểu biết gì về mỗi bên. Đặc điểm TLS và Lync Server 2010 của server được tin cậy (chỉ những quy định đó tại Topology Builder) làm giảm thiểu các nguy cơ cảu một phần man-in-the-middle tại trang webtack trên lớp ứng dụng bằng việc sử dụng mã hóa end - to - end kết hợp với việc sử dụng mật mã khóa công cộng giữa hai thiết bị đầu cuối, và kẻ tấn công phải có một giấy chứng nhận hợp lệ và đáng tin cậy với các khóa
riêng tương ứng và được phát hành với tên của dịch vụ mà client được giao tiếp để giải mã các thông tin liên lạc.
Tuy nhiên bạn phải tuân thủ theo các thực hành bảo mật tốt nhất với cơ sở hạ tầng của bạn. Lync Server 2010 giả định rằng DNS server được tin cậy giống như cách mà bộ điều khiển tên miền và danh mục toàn cầu được tin cậy, nhưng DNS không cung cấp một mức độ bảo vệ chống lại các cuộc tấn công hijack DNS bằng cách ngăn chặn server của kẻ tấn công từ phản hồi đã thành công đến một yêu cầu với tên giả mạo.
Hình dưới đây cho thấy ở mức độ cao như thế nào Lync Server 2010 dùng MTLS để thiết lập mạng lưới những server đáng tin cậy.
Hình 4.1: Các kết nối tin cậy trong một mạng Lync Server 2010