Passa al contenuto principale

9.2. TLS Transport

I router client che utilizzano il trasporto TLS DEVONO presentare certificati lato client per autenticarsi presso la cache al fine di consentire alla cache di gestire il carico rifiutando le connessioni da router non autorizzati. In linea di principio, qualsiasi tipo di certificato e autorità di certificazione (CA) può essere utilizzato; tuttavia, in generale, gli operatori di cache vorranno creare la propria CA su piccola scala ed emettere certificati a ciascun router autorizzato. Questo semplifica il rinnovo delle credenziali; qualsiasi certificato non revocato e non scaduto dalla CA appropriata può essere utilizzato.

I certificati utilizzati per autenticare i router client in questo protocollo DEVONO includere un'estensione subjectAltName [RFC5280] contenente una o più identità iPAddress; quando autentica il certificato del router, la cache DEVE controllare l'indirizzo IP della connessione TLS rispetto a queste identità iPAddress e DOVREBBE rifiutare la connessione se nessuna delle identità iPAddress corrisponde alla connessione.

I router DEVONO anche verificare il certificato del server TLS della cache, utilizzando le identità dNSName subjectAltName come descritto in [RFC6125], per evitare attacchi MITM. Le regole e le linee guida definite in [RFC6125] si applicano qui, con le seguenti considerazioni:

  • Il supporto per il tipo di identificatore DNS-ID (cioè l'identità dNSName nell'estensione subjectAltName) è RICHIESTO nelle implementazioni di server e client rpki-rtr che utilizzano TLS. Le autorità di certificazione che emettono certificati di server rpki-rtr DEVONO supportare il tipo di identificatore DNS-ID e il tipo di identificatore DNS-ID DEVE essere presente nei certificati di server rpki-rtr.

  • I nomi DNS nei certificati di server rpki-rtr NON DOVREBBERO contenere il carattere jolly "*".

  • Le implementazioni rpki-rtr che utilizzano TLS NON DEVONO utilizzare identificatori Common Name (CN-ID); un campo CN può essere presente nel nome del soggetto del certificato del server ma NON DEVE essere utilizzato per l'autenticazione nell'ambito delle regole descritte in [RFC6125].

  • Il router client DEVE impostare il suo "reference identifier" sul nome DNS della cache rpki-rtr.

Ultimo aggiornamento il