RFC 6698 - DANE TLSA

• Stato: Proposed Standard
• Pubblicato: August 2012
• Stream: IETF
• Errata: Nessun errata

---

Informazioni sul documento (Document Information)

• Numero RFC: 6698
• Titolo: Autenticazione basata su DNS di entità nominate (DANE) Protocollo Transport Layer Security (TLS): TLSA
• Autori: P. Hoffman (VPN Consortium), J. Schlyter (Kirei AB)
• Data: Agosto 2012
• Categoria: Standards Track
• ISSN: 2070-1721
• Aggiornamenti: Aggiornato da RFC 7218, RFC 7671, RFC 8749

Sommario (Abstract)

La comunicazione crittografata su Internet utilizza spesso Transport Layer Security (TLS), che dipende da terze parti per certificare le chiavi utilizzate. Questo documento migliora tale situazione consentendo agli amministratori di nomi di dominio di specificare le chiavi utilizzate nei server TLS di quel dominio. Ciò richiede miglioramenti corrispondenti nel software client TLS, ma nessuna modifica nel software server TLS.

Stato di questo memorandum (Status of This Memo)

Questo è un documento Standards Track di Internet.

Questo documento è un prodotto dell'Internet Engineering Task Force (IETF). Rappresenta il consenso della comunità IETF. Ha ricevuto la revisione pubblica ed è stato approvato per la pubblicazione dall'Internet Engineering Steering Group (IESG). Ulteriori informazioni sugli standard Internet sono disponibili nella sezione 2 di RFC 5741.

Le informazioni sullo stato attuale di questo documento, eventuali errata e come fornire feedback possono essere ottenute all'indirizzo http://www.rfc-editor.org/info/rfc6698.

Avviso di copyright (Copyright Notice)

Copyright (c) 2012 IETF Trust e le persone identificate come autori del documento. Tutti i diritti riservati.

Questo documento è soggetto a BCP 78 e alle disposizioni legali dell'IETF Trust relative ai documenti IETF (http://trustee.ietf.org/license-info) in vigore alla data di pubblicazione di questo documento. Si prega di esaminare attentamente questi documenti, in quanto descrivono i vostri diritti e le restrizioni relative a questo documento. I componenti di codice estratti da questo documento devono includere il testo della licenza BSD semplificata come descritto nella sezione 4.e delle disposizioni legali del Trust e sono forniti senza garanzia come descritto nella licenza BSD semplificata.

Contenuti (Contents)

• 1. Introduzione
  • 1.1. Contesto e motivazione
  • 1.2. Protezione dell'associazione di un nome di dominio con il certificato di un server
  • 1.3. Metodo per proteggere le associazioni di certificati
  • 1.4. Terminologia
• 2. Il record di risorsa TLSA
  • 2.1. Formato wire RDATA TLSA
  • 2.2. Formato di presentazione RR TLSA
  • 2.3. Esempi di RR TLSA
• 3. Nomi di dominio per associazioni di certificati TLSA
• 4. Uso dei record TLSA in TLS
  • 4.1. Associazioni di certificati utilizzabili
• 5. Casi d'uso e requisiti TLSA e DANE
• 6. Funzionalità obbligatorie da implementare
• 7. Considerazioni IANA
  • 7.1. Tipo RR TLSA
  • 7.2. Utilizzi dei certificati TLSA
  • 7.3. Selettori TLSA
  • 7.4. Tipi di corrispondenza TLSA
• 8. Considerazioni sulla sicurezza
  • 8.1. Confronto tra DANE e CA pubbliche
  • 8.2. Caching DNS
  • 8.3. Validatori DNSSEC esterni
• 9. Riconoscimenti
• 10. Riferimenti
  • 10.1. Riferimenti normativi
  • 10.2. Riferimenti informativi

Appendici (Appendices)

• Appendice A. Considerazioni operative per la distribuzione di record TLSA
  • A.1. Creazione di record TLSA
  • A.2. Provisioning di record TLSA in DNS
  • A.3. Protezione dell'ultimo hop
  • A.4. Gestione del rinnovo dei certificati
• Appendice B. Pseudocodice per l'utilizzo di TLSA
  • B.1. Funzioni di supporto
  • B.2. Pseudocodice principale TLSA
• Appendice C. Esempi