Zum Hauptinhalt springen

1.2. Terminology and Applicability (Terminologie und Anwendbarkeit)

1.2. Terminology and Applicability (Terminologie und Anwendbarkeit)

Dieses Dokument verwendet die folgende Terminologie aus Abschnitt 3 von [STRUCTURED-FIELDS], um Syntax und Parsing zu spezifizieren: List (Liste) und Byte Sequence (Byte-Sequenz).

Phrasen wie "TLS-Client-Zertifikatauthentifizierung" oder "gegenseitig authentifiziertes TLS" werden in diesem Dokument verwendet, um sich auf den Prozess zu beziehen, bei dem zusätzlich zur normalen TLS-Serverauthentifizierung mit einem Zertifikat ein Client sein X.509-Zertifikat [RFC5280] präsentiert und den Besitz des entsprechenden privaten Schlüssels gegenüber einem Server nachweist, wenn eine TLS-Verbindung oder die Wiederaufnahme einer solchen Verbindung ausgehandelt wird. In zeitgenössischen Versionen von TLS [TLS] [TLS1.2] erfordert die gegenseitige Authentifizierung, dass der Client während des Handshakes die Certificate- und CertificateVerify-Nachrichten sendet und der Server die CertificateVerify- und Finished-Nachrichten verifiziert.

HTTP/2 beschränkt die TLS 1.2-Neuverhandlung (renegotiation) (Abschnitt 9.2.1 von [HTTP/2]) und verbietet die TLS 1.3-Post-Handshake-Authentifizierung (Abschnitt 9.2.3 von [HTTP/2]). Sie werden jedoch manchmal verwendet, um reaktive Client-Zertifikatauthentifizierung in HTTP/1.1 [HTTP/1.1] zu implementieren, wobei der Server basierend auf der HTTP-Anfrage entscheidet, ob ein Client-Zertifikat angefordert werden soll. HTTP-Anwendungsdaten, die über eine solche Verbindung nach Erhalt und Verifizierung des Client-Zertifikats gesendet werden, sind ebenfalls gegenseitig authentifiziert und daher für die in diesem Dokument beschriebenen Mechanismen geeignet. Bei Post-Handshake-Authentifizierung besteht auch die Möglichkeit, obwohl in der Praxis unwahrscheinlich, von mehreren Zertifikaten und Zertifikatsketten vom Client auf einer Verbindung. In diesem Fall sind nur das Zertifikat und die Kette der letzten Post-Handshake-Authentifizierung für die hier beschriebenen Header-Felder zu verwenden.

Letztes Update am