5. Security Considerations (セキュリティに関する考慮)

5. Security Considerations (セキュリティに関する考慮)

本チャレンジの設計は, 検証中の HTTPS サーバの挙動を中心としたいくつかの仮定に依存する.

第一の仮定は, 単一の IP アドレスから複数の DNS 名向けにコンテンツを提供する HTTPS サーバが, それらの名の制御を適切に所有者ユーザーに分離することである. つまり, ユーザー A がホスト A を, ユーザー B がホスト B を登録した場合, HTTPS サーバはホスト A の SNI 値を用いた TLS リクエストをユーザー B が処理したり, ホスト B を識別する server_name 拡張を伴う TLS 接続をユーザー A が応答したりすることを許してはならない. HTTPS サーバがユーザー B にこのリクエストの処理を許せば, ユーザー B は ACME サーバに対しホスト A の制御を不当に検証できる.

第二の仮定は, サーバが実際に理解せずに acme-tls/1 プロトコルの使用に無条件に同意して [RFC7301] を侵害しないことである.

同一インフラ上の他のユーザーが使用するドメイン名をユーザーが主張するリスクをさらに軽減するため, ホスティングプロバイダ, CDN, その他のサービスプロバイダは, TLS ALPN 検証プロセスでユーザー自身の証明書を提供することを許可すべきではない. プロバイダが TLS ALPN 検証を実装する場合は, 検証用証明書は自ら生成し, この機能をユーザーに公開すべきではない.

本ドキュメントに記載の ACME プロトコル拡張は, [RFC8555] のセクション 10.1 に定義されたセキュリティに関する考慮事項と脅威モデルに基づく.