5. Security Considerations (安全注意事项)

5. Security Considerations (安全注意事项)

本质询的设计依赖于若干围绕 HTTPS 服务器在验证期间行为的假设.

第一个假设是: 当 HTTPS 服务器从单一 IP 地址为多个 DNS 名称提供内容时, 它会正确地将这些名称的控制权隔离给拥有它们的用户. 这意味着若用户 A 注册了主机 A, 用户 B 注册了主机 B, 则 HTTPS 服务器不应允许使用指向主机 A 的 SNI 值的 TLS 请求由用户 B 提供服务, 也不应允许 server_name 扩展标识主机 B 的 TLS 连接由用户 A 应答. 若 HTTPS 服务器允许用户 B 提供该请求, 就会使其得以向 ACME 服务器虚假验证对主机 A 的控制.

第二个假设是: 服务器不会违反 [RFC7301], 在未真正理解 acme-tls/1 协议的情况下盲目同意使用该协议.

为进一步降低用户在同一基础设施上冒用其他用户域名的风险, 托管提供商, CDN 以及其他服务提供商不应允许用户为 TLS ALPN 验证过程自行提供证书. 若提供商希望实现 TLS ALPN 验证, 则应该仅自行生成用于验证的证书, 而不向用户开放该能力.

本文档所述对 ACME 协议的扩展建立在 [RFC8555] 第 10.1 节所定义的安全注意事项与威胁模型之上.