B.3. Proxy di terminazione TLS (TLS-Terminating Proxies)

In questo esempio è presente un reverse proxy di terminazione TLS (TLS-terminating reverse proxy) davanti alla risorsa. Il client non firma la richiesta ma usa invece TLS mutuo (mutual TLS) per effettuare la chiamata. Il proxy di terminazione convalida il flusso TLS e inietta un campo di intestazione Client-Cert secondo [CLIENT-CERT], quindi applica una firma a questo campo. Firmando questo campo di intestazione, un reverse proxy può non solo attestare la propria convalida dei parametri TLS della richiesta iniziale, ma anche autenticarsi verso il sistema di backend indipendentemente dalle azioni del client.

Il client invia la seguente richiesta al proxy di terminazione TLS usando TLS mutuo:

POST /foo?param=Value&Pet=dog HTTP/1.1 Host: example.com Date: Tue, 20 Apr 2021 02:07:55 GMT Content-Type: application/json Content-Length: 18

{"hello": "world"}

Il proxy elabora la connessione TLS ed estrae il certificato TLS del client in un campo Client-Cert e lo inoltra al servizio interno ospitato su service.internal.example. Ne deriva la seguente richiesta non firmata:

NOTA: a capo con '' secondo RFC 8792

POST /foo?param=Value&Pet=dog HTTP/1.1 Host: service.internal.example Date: Tue, 20 Apr 2021 02:07:55 GMT Content-Type: application/json Content-Length: 18 Client-Cert: :MIIBqDCCAU6gAwIBAgIBBzAKBggqhkjOPQQDAjA6MRswGQYDVQQKD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=:

{"hello": "world"}

Senza una firma, il servizio interno dovrebbe fidarsi che la connessione in ingresso contenga le informazioni corrette. Firmando il campo Client-Cert e altre porzioni della richiesta interna, il servizio interno può essere certo che la parte corretta, il proxy attendibile, abbia elaborato la richiesta e l'abbia presentata al servizio corretto. La base della firma del proxy è la seguente:

NOTA: a capo con '' secondo RFC 8792

"@path": /foo "@query": ?param=Value&Pet=dog "@method": POST "@authority": service.internal.example "client-cert": :MIIBqDCCAU6gAwIBAgIBBzAKBggqhkjOPQQDAjA6MRswGQYDVQQ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=: "@signature-params": ("@path" "@query" "@method" "@authority"
"client-cert");created=1618884473;keyid="test-key-ecc-p256"

Ne deriva la seguente firma:

NOTA: a capo con '' secondo RFC 8792

xVMHVpawaAC/0SbHrKRs9i8I3eOs5RtTMGCWXm/9nvZzoHsIg6Mce9315T6xoklyy0y
zhD9ah4JHRwMLOgmizw==

da cui deriva la seguente richiesta firmata inviata dal proxy al servizio interno, con la firma del proxy sotto l'etichetta ttrp:

NOTA: a capo con '' secondo RFC 8792

{"hello": "world"}

Il servizio interno può convalidare la firma del proxy e quindi fidarsi che il certificato del client sia stato elaborato correttamente.

B.3. Proxy di terminazione TLS (TLS-Terminating Proxies)​

B.3. Proxy di terminazione TLS (TLS-Terminating Proxies)