Aller au contenu principal

RFC 8555 第9-12章摘要

说明: 本文档提供RFC 8555第9-12章的关键要点摘要。完整技术细节请参考RFC 8555官方文档。

9. IANA Considerations (IANA考虑事项)

9.1 媒体类型注册

  • application/pem-certificate-chain: 用于证书链的PEM格式

9.2 Well-Known URI

  • /.well-known/acme-challenge: HTTP挑战的标准路径

9.3 HTTP头字段

  • Replay-Nonce: 防重放nonce头字段

9.4-9.5 JWS头参数

  • url: JWS中的URL参数
  • nonce: JWS中的nonce参数

9.6 URN命名空间

  • urn:ietf:params:acme: ACME协议的URN命名空间

9.7 新注册表

IANA为ACME创建了以下注册表:

  1. Account Object Fields (账户对象字段)
  2. Order Object Fields (订单对象字段)
  3. Authorization Object Fields (授权对象字段)
  4. Error Types (错误类型)
  5. Resource Types (资源类型)
  6. Directory Metadata Fields (目录元数据字段)
  7. Identifier Types (标识符类型)
  8. Validation Methods (验证方法)

10. Security Considerations (安全考虑)

10.1 威胁模型

ACME的两个主要安全目标:

  1. 只有控制标识符的实体才能获得该标识符的授权
  2. 授权后,账户密钥的授权不能被另一个账户不当使用

通信渠道

  • ACME通道:客户端与服务器之间的HTTPS请求
  • 验证通道:服务器执行验证查询的通道

10.2 授权的完整性

密钥绑定:所有挑战都通过密钥授权将账户私钥与验证查询绑定。

潜在攻击

  • MitM攻击:CDN或反向代理可能成为中间人
  • DNS攻击:攻击者可以通过DNS劫持影响验证
  • 托管提供商风险:托管服务提供商可能篡改验证

防御措施

  • 使用DNSSEC验证的解析器
  • 从多个网络位置查询DNS
  • 应用DNS防护措施(如DNS0x20)

10.3 拒绝服务考虑

CA应实施:

  • 速率限制
  • 资源配额
  • 验证查询的超时设置

10.4 服务器端请求伪造(SSRF)

HTTP-01挑战可能被用于SSRF攻击,CA应该:

  • 拒绝私有IP地址
  • 限制重定向
  • 设置合理的超时

10.5 CA策略考虑

CA应制定关于以下方面的策略:

  • 验证方法的选择
  • 证书有效期
  • 吊销条件

11. Operational Considerations (操作考虑)

11.1 密钥选择

推荐的密钥类型

  • ECDSA P-256或P-384
  • RSA 2048位或更高

11.2 DNS安全

使用DNS-01挑战时:

  • 确保DNS基础设施安全
  • 考虑使用DNSSEC
  • 保护DNS管理接口

11.3 令牌熵

挑战令牌必须具有足够的熵:

  • 至少128位熵
  • 使用加密安全的随机数生成器

11.4 畸形证书链

客户端应该:

  • 验证下载的证书链的完整性
  • 检查证书的有效期
  • 验证证书链的信任路径

12. References (参考文献)

12.1 规范性参考文献 (部分列表)

  • RFC2119: 关键词定义 (MUST, SHOULD, MAY等)
  • RFC5280: X.509证书和CRL配置
  • RFC7515: JSON Web Signature (JWS)
  • RFC7518: JSON Web Algorithms (JWA)
  • RFC8259: JSON数据格式
  • RFC2818: HTTPS
  • RFC3339: 日期和时间格式
  • RFC7807: HTTP API的问题详细信息

12.2 信息性参考文献 (部分列表)

  • RFC3552: 互联网协议的安全考虑指南
  • RFC6844: DNS证书颁发机构授权(CAA)资源记录
  • RFC7525: TLS和DTLS的安全建议

附录

Acknowledgements (致谢)

RFC 8555的开发得到了众多IETF社区成员的贡献。

Authors' Addresses (作者地址)

主要作者

  • Richard Barnes (Cisco)
  • Jacob Hoffman-Andrews (EFF)
  • Daniel McCarney (Let's Encrypt)
  • James Kasten (University of Michigan)

相关资源

Dernière mise à jour le