Zum Hauptinhalt springen

13.1. Verwendung von TLS/TCP und DTLS/SCTP

13.1. Verwendung von TLS/TCP und DTLS/SCTP (TLS/TCP and DTLS/SCTP Usage)

Diameter-Knoten, die TLS/TCP und DTLS/SCTP für die Sicherheit einsetzen, MÜSSEN sich im Rahmen der TLS/TCP- und DTLS/SCTP-Sitzungsaufstellung gegenseitig authentifizieren. Um die gegenseitige Authentifizierung sicherzustellen, MUSS der Diameter-Knoten, der als TLS/TCP- und DTLS/SCTP-Server fungiert, vom Diameter-Knoten, der als TLS/TCP- und DTLS/SCTP-Client fungiert, ein Zertifikat anfordern, und der Diameter-Knoten, der als TLS/TCP- und DTLS/SCTP-Client fungiert, MUSS bereit sein, auf Anforderung ein Zertifikat bereitzustellen.

Diameter-Knoten MÜSSEN die folgenden TLS/TCP- und DTLS/SCTP-Cipher Suites aushandeln können:

  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Diameter-Knoten SOLLTEN die folgende TLS/TCP- und DTLS/SCTP-Cipher Suite aushandeln können:

  • TLS_RSA_WITH_AES_128_CBC_SHA

Es ist durchaus möglich, dass die Unterstützung der Cipher Suite TLS_RSA_WITH_AES_128_CBC_SHA zu einem späteren Zeitpunkt ERFORDERLICH sein wird. Diameter-Knoten DÜRFEN andere TLS/TCP- und DTLS/SCTP-Cipher Suites aushandeln.

Werden öffentliche Schlüsselzertifikate für die Diameter-Sicherheit verwendet (z. B. mit TLS), DÜRFEN die Ablaufzeiten in den Routing- und Peer-Tabellen nicht größer sein als die Ablaufzeit in den jeweiligen Zertifikaten.

Letztes Update am