B.3. Proxies terminant le TLS

Dans cet exemple, un proxy inverse terminant le TLS est placé devant la ressource. Le client ne signe pas la requête mais utilise plutôt le TLS mutuel pour son appel. Le proxy terminal valide le flux TLS et injecte un champ d'en-tête Client-Cert conformément à [CLIENT-CERT], puis applique une signature à ce champ. En signant ce champ d'en-tête, un proxy inverse peut non seulement attester sa propre validation des paramètres TLS de la requête initiale, mais aussi s'authentifier auprès du système dorsal indépendamment des actions du client.

Le client envoie la requête suivante au proxy terminant le TLS en TLS mutuel :

POST /foo?param=Value&Pet=dog HTTP/1.1 Host: example.com Date: Tue, 20 Apr 2021 02:07:55 GMT Content-Type: application/json Content-Length: 18

{"hello": "world"}

Le proxy traite la connexion TLS et extrait le certificat TLS du client dans un champ Client-Cert et le transmet au service interne hébergé sur service.internal.example. Il en résulte la requête non signée suivante :

NOTE: '' line wrapping per RFC 8792

POST /foo?param=Value&Pet=dog HTTP/1.1 Host: service.internal.example Date: Tue, 20 Apr 2021 02:07:55 GMT Content-Type: application/json Content-Length: 18 Client-Cert: :MIIBqDCCAU6gAwIBAgIBBzAKBggqhkjOPQQDAjA6MRswGQYDVQQKD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=:

{"hello": "world"}

Sans signature, le service interne devrait faire confiance au fait que la connexion entrante contient les bonnes informations. En signant le champ Client-Cert et d'autres parties de la requête interne, le service interne peut être assuré que la bonne entité, le proxy de confiance, a traité la requête et l'a présentée au bon service. La base de signature du proxy est la suivante :

NOTE: '' line wrapping per RFC 8792

"@path": /foo "@query": ?param=Value&Pet=dog "@method": POST "@authority": service.internal.example "client-cert": :MIIBqDCCAU6gAwIBAgIBBzAKBggqhkjOPQQDAjA6MRswGQYDVQQ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=: "@signature-params": ("@path" "@query" "@method" "@authority"
"client-cert");created=1618884473;keyid="test-key-ecc-p256"

Il en résulte la signature suivante :

NOTE: '' line wrapping per RFC 8792

xVMHVpawaAC/0SbHrKRs9i8I3eOs5RtTMGCWXm/9nvZzoHsIg6Mce9315T6xoklyy0y
zhD9ah4JHRwMLOgmizw==

d'où la requête signée suivante envoyée du proxy au service interne avec la signature du proxy sous l'étiquette ttrp :

NOTE: '' line wrapping per RFC 8792

{"hello": "world"}

Le service interne peut valider la signature du proxy et ainsi faire confiance au fait que le certificat du client a été correctement traité.

B.3. Proxies terminant le TLS​

B.3. Proxies terminant le TLS