Aller au contenu principal

9.2. TLS Transport

Les routeurs clients utilisant le transport TLS DOIVENT présenter des certificats côté client pour s'authentifier auprès du cache afin de permettre au cache de gérer la charge en rejetant les connexions de routeurs non autorisés. En principe, tout type de certificat et d'autorité de certification (CA) peut être utilisé; cependant, en général, les opérateurs de cache souhaiteront créer leur propre CA à petite échelle et émettre des certificats à chaque routeur autorisé. Cela simplifie le renouvellement des informations d'identification; tout certificat non révoqué et non expiré provenant de la CA appropriée peut être utilisé.

Les certificats utilisés pour authentifier les routeurs clients dans ce protocole DOIVENT inclure une extension subjectAltName [RFC5280] contenant une ou plusieurs identités iPAddress; lors de l'authentification du certificat du routeur, le cache DOIT vérifier l'adresse IP de la connexion TLS par rapport à ces identités iPAddress et DEVRAIT rejeter la connexion si aucune des identités iPAddress ne correspond à la connexion.

Les routeurs DOIVENT également vérifier le certificat de serveur TLS du cache, en utilisant les identités dNSName subjectAltName comme décrit dans [RFC6125], pour éviter les attaques MITM. Les règles et directives définies dans [RFC6125] s'appliquent ici, avec les considérations suivantes:

  • Le support du type d'identificateur DNS-ID (c'est-à-dire l'identité dNSName dans l'extension subjectAltName) est REQUIS dans les implémentations de serveur et de client rpki-rtr qui utilisent TLS. Les autorités de certification qui émettent des certificats de serveur rpki-rtr DOIVENT prendre en charge le type d'identificateur DNS-ID, et le type d'identificateur DNS-ID DOIT être présent dans les certificats de serveur rpki-rtr.

  • Les noms DNS dans les certificats de serveur rpki-rtr NE DEVRAIENT PAS contenir le caractère générique "*".

  • Les implémentations rpki-rtr qui utilisent TLS NE DOIVENT PAS utiliser d'identificateurs Common Name (CN-ID); un champ CN peut être présent dans le nom du sujet du certificat du serveur mais NE DOIT PAS être utilisé pour l'authentification dans le cadre des règles décrites dans [RFC6125].

  • Le routeur client DOIT définir son "reference identifier" sur le nom DNS du cache rpki-rtr.

Dernière mise à jour le