Zum Hauptinhalt springen

9.2. TLS Transport

Client-Router, die TLS-Transport verwenden, MÜSSEN clientseitige Zertifikate vorlegen, um sich gegenüber dem Cache zu authentifizieren, damit der Cache die Last verwalten kann, indem er Verbindungen von nicht autorisierten Routern ablehnt. Im Prinzip können beliebige Zertifikats- und Zertifizierungsstellentypen verwendet werden; im Allgemeinen werden Cache-Betreiber jedoch ihre eigene kleine Zertifizierungsstelle erstellen und Zertifikate an jeden autorisierten Router ausstellen wollen. Dies vereinfacht den Credential-Rollover; jedes nicht widerrufene, nicht abgelaufene Zertifikat von der richtigen CA kann verwendet werden.

Zertifikate, die zur Authentifizierung von Client-Routern in diesem Protokoll verwendet werden, MÜSSEN eine subjectAltName-Erweiterung [RFC5280] enthalten, die eine oder mehrere iPAddress-Identitäten enthält; bei der Authentifizierung des Router-Zertifikats MUSS der Cache die IP-Adresse der TLS-Verbindung gegen diese iPAddress-Identitäten prüfen und SOLLTE die Verbindung ablehnen, wenn keine der iPAddress-Identitäten mit der Verbindung übereinstimmt.

Router MÜSSEN auch das TLS-Serverzertifikat des Caches verifizieren, indem sie subjectAltName dNSName-Identitäten verwenden, wie in [RFC6125] beschrieben, um MITM-Angriffe zu vermeiden. Die in [RFC6125] definierten Regeln und Richtlinien gelten hier mit folgenden Überlegungen:

  • Unterstützung für den DNS-ID-Identifikatortyp (d.h. die dNSName-Identität in der subjectAltName-Erweiterung) ist in rpki-rtr-Server- und Client-Implementierungen erforderlich, die TLS verwenden. Zertifizierungsstellen, die rpki-rtr-Serverzertifikate ausstellen, MÜSSEN den DNS-ID-Identifikatortyp unterstützen, und der DNS-ID-Identifikatortyp MUSS in rpki-rtr-Serverzertifikaten vorhanden sein.

  • DNS-Namen in rpki-rtr-Serverzertifikaten SOLLTEN NICHT das Wildcard-Zeichen "*" enthalten.

  • rpki-rtr-Implementierungen, die TLS verwenden, DÜRFEN NICHT Common Name (CN-ID)-Identifikatoren verwenden; ein CN-Feld kann im Subjektnamen des Serverzertifikats vorhanden sein, darf jedoch NICHT für die Authentifizierung innerhalb der in [RFC6125] beschriebenen Regeln verwendet werden.

  • Der Client-Router MUSS seinen "reference identifier" auf den DNS-Namen des rpki-rtr-Caches setzen.

Letztes Update am