Network Working Group S. Hollenbeck
Request for Comments: 5734 VeriSign, Inc.
STD: 69 August 2009
Obsoletes: 4934
Category: Standards Track
Extensible Provisioning Protocol (EPP) Transport over TCP
Abstract
抽象
This document describes how an Extensible Provisioning Protocol (EPP) session is mapped onto a single Transmission Control Protocol (TCP) connection. This mapping requires use of the Transport Layer Security (TLS) protocol to protect information exchanged between an EPP client and an EPP server. This document obsoletes RFC 4934.
この文書では、拡張可能なプロビジョニングプロトコル(EPP)セッションは、単一の伝送制御プロトコル(TCP)接続上にマッピングされる方法を説明します。このマッピングはEPPクライアントとEPPサーバ間で交換される情報を保護するために、トランスポート層セキュリティ(TLS)プロトコルを使用する必要があります。この文書はRFC 4934を廃止します。
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2009 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
この文書では、BCP 78と、この文書(http://trustee.ietf.org/license-info)の発行日に有効なIETFドキュメントに関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。
Table of Contents
目次
1. Introduction ....................................................2
1.1. Conventions Used in This Document ..........................2
2. Session Management ..............................................2
3. Message Exchange ................................................3
4. Data Unit Format ................................................6
5. Transport Considerations ........................................6
6. Internationalization Considerations .............................7
7. IANA Considerations .............................................7
8. Security Considerations .........................................7
9. TLS Usage Profile ...............................................8
10. Acknowledgements ..............................................11
11. References ....................................................11
11.1. Normative References .....................................11
11.2. Informative References ...................................12
Appendix A. Changes from RFC 4934 ................................13
This document describes how the Extensible Provisioning Protocol (EPP) is mapped onto a single client-server TCP connection. Security services beyond those defined in EPP are provided by the Transport Layer Security (TLS) Protocol [RFC2246]. EPP is described in [RFC5730]. TCP is described in [RFC0793]. This document obsoletes RFC 4934 [RFC4934].
この文書では、拡張可能なプロビジョニングプロトコル(EPP)は、単一のクライアントサーバTCPコネクション上にマッピングされる方法を説明します。 EPPに定義されたもの以外のセキュリティサービスは、トランスポート層セキュリティ(TLS)プロトコル[RFC2246]によって提供されています。 EPPは、[RFC5730]に記載されています。 TCPは、[RFC0793]に記述されています。この文書は、RFC 4934 [RFC4934]を廃止します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
Mapping EPP session management facilities onto the TCP service is straightforward. An EPP session first requires creation of a TCP connection between two peers, one that initiates the connection request and one that responds to the connection request. The initiating peer is called the "client", and the responding peer is called the "server". An EPP server MUST listen for TCP connection requests on a standard TCP port assigned by IANA.
TCPサービスへのマッピングEPPセッション管理機能は簡単です。 EPPセッションは、最初の2つのピアは、接続要求を開始1との接続要求に応答する1の間のTCP接続を作成する必要があります。開始ピアは、「クライアント」と呼ばれ、応答するピアは、「サーバー」と呼ばれています。 EPPサーバは、IANAによって割り当てられた標準のTCPポート上のTCP接続要求を待機しなければなりません。
The client MUST issue an active OPEN call, specifying the TCP port number on which the server is listening for EPP connection attempts. The EPP server MUST return an EPP <greeting> to the client after the TCP session has been established.
クライアントは、サーバーがEPPの接続試行のために待機しているTCPポート番号を指定して、アクティブなOPENコールを発行しなければなりません。 TCPセッションが確立された後EPPサーバは、クライアントに<挨拶> EPPを返さなければなりません。
An EPP session is normally ended by the client issuing an EPP <logout> command. A server receiving an EPP <logout> command MUST end the EPP session and close the TCP connection with a CLOSE call. A client MAY end an EPP session by issuing a CLOSE call.
EPPのセッションは、通常、EPP <ログアウト>コマンドを発行し、クライアントによって終了されます。 EPP <ログアウト>コマンドを受信したサーバは、EPPのセッションを終了し、CLOSE呼び出しとのTCP接続を閉じる必要があります。クライアントはCLOSE呼び出しを発行することによって、EPPのセッションを終了してもよいです。
A server MAY limit the life span of an established TCP connection. EPP sessions that are inactive for more than a server-defined period MAY be ended by a server issuing a CLOSE call. A server MAY also close TCP connections that have been open and active for longer than a server-defined period.
サーバは、確立されたTCP接続の寿命を制限する可能性があります。サーバーに定義された期間よりも非アクティブですEPPセッションはCLOSE呼び出しを発行するサーバーで終了してもよいです。サーバは、サーバに定義された期間よりも長い間、オープンで活躍されているクローズTCP接続もことがあります。
With the exception of the EPP server greeting, EPP messages are initiated by the EPP client in the form of EPP commands. An EPP server MUST return an EPP response to an EPP command on the same TCP connection that carried the command. If the TCP connection is closed after a server receives and successfully processes a command but before the response can be returned to the client, the server MAY attempt to undo the effects of the command to ensure a consistent state between the client and the server. EPP commands are idempotent, so processing a command more than once produces the same net effect on the repository as successfully processing the command once.
EPPサーバーの挨拶を除き、EPPメッセージはEPPコマンドの形でEPPクライアントによって開始されています。 EPPサーバはコマンドを運ん同じTCP接続上のEPPコマンドにEPP応答を返さなければなりません。 TCP接続が閉じている場合、サーバーが受信し、応答をクライアントに返すことができる前に、コマンドを正常に処理しますが、後に、サーバーは、クライアントとサーバの間で一貫性のある状態を確保するためのコマンドの効果を取り消ししようとすることができます。 EPPコマンドはそう一度として成功し、1つのコマンドを処理して、リポジトリに同じ正味の効果を生じ以上のコマンドを処理し、冪等です。
An EPP client streams EPP commands to an EPP server on an established TCP connection. A client MUST NOT distribute commands from a single EPP session over multiple TCP connections. A client MAY establish multiple TCP connections to support multiple EPP sessions with each session mapped to a single connection. A server SHOULD limit a client to a maximum number of TCP connections based on server capabilities and operational load.
EPPクライアントは、EPPが確立されたTCP接続にEPPサーバーにコマンドストリーム。クライアントは、複数のTCPコネクションを介して単一EPPセッションからコマンドを配布してはなりません。クライアントは、単一の接続にマッピングされた各セッションで複数のEPPセッションをサポートするために、複数のTCP接続を確立することができます。サーバは、サーバの機能と運用負荷に基づいてTCP接続の最大数にクライアントを制限する必要があります。
EPP describes client-server interaction as a command-response exchange where the client sends one command to the server and the server returns one response to the client. A client might be able to realize a slight performance gain by pipelining (sending more than one command before a response for the first command is received) commands with TCP transport, but this feature does not change the basic single command, single response operating mode of the core protocol.
EPPは、クライアントがサーバに一つのコマンドを送信し、サーバーがクライアントへの1つの応答を返すコマンド応答交換などのクライアントとサーバの対話について説明します。クライアントは、TCPトランスポートでコマンドをパイプライン化(受信された最初のコマンドに対する応答の前に複数のコマンドを送信する)ことにより、わずかなパフォーマンスの向上を実現することができるかもしれませんが、この機能は、基本的な単一のコマンド、単一の応答動作モードを変更しませんコアプロトコル。
Each EPP data unit MUST contain a single EPP message. Commands MUST be processed independently and in the same order as sent from the client.
各EPPデータユニットは、単一のEPPメッセージを含まなければなりません。コマンドは、独立して処理し、クライアントから送信されたのと同じ順序でなければなりません。
A server SHOULD impose a limit on the amount of time required for a client to issue a well-formed EPP command. A server SHOULD end an EPP session and close an open TCP connection if a well-formed command is not received within the time limit.
サーバーは、十分に形成されEPPコマンドを発行するクライアントに必要な時間の量に制限を課すべきです。サーバは、EPPセッションを終了し、十分に形成されたコマンドが制限時間内に受信されない場合、オープンTCP接続を閉じる必要があります。
A general state machine for an EPP server is described in Section 2 of [RFC5730]. General client-server message exchange using TCP transport is illustrated in Figure 1.
EPPサーバのための一般的な状態マシンは、[RFC5730]のセクション2に記載されています。 TCPトランスポートを使用して、一般的なクライアント・サーバ・メッセージ交換は、図1に示されています。
Client Server
| |
| Connect |
| >>------------------------------->> |
| |
| Send Greeting |
| <<-------------------------------<< |
| |
| Send <login> |
| >>------------------------------->> |
| |
| Send Response |
| <<-------------------------------<< |
| |
| Send Command |
| >>------------------------------->> |
| |
| Send Response |
| <<-------------------------------<< |
| |
| Send Command X |
| >>------------------------------->> |
| |
| Send Command Y |
| >>---------------+ |
| | |
| | |
| Send Response X |
| <<---------------(---------------<< |
| | |
| | |
| +--------------->> |
| |
| Send Response Y |
| <<-------------------------------<< |
| |
| Send <logout> |
| >>------------------------------->> |
| |
| Send Response & Disconnect |
| <<-------------------------------<< |
| |
Figure 1: TCP Client-Server Message Exchange
図1:TCPクライアントとサーバ間のメッセージ交換
The EPP data unit contains two fields: a 32-bit header that describes the total length of the data unit, and the EPP XML instance. The length of the EPP XML instance is determined by subtracting four octets from the total length of the data unit. A receiver must successfully read that many octets to retrieve the complete EPP XML instance before processing the EPP message.
データ部の合計長さを記述する32ビットのヘッダ、およびEPP XMLインスタンス:EPPデータユニットは、2つのフィールドが含まれています。 EPP XMLインスタンスの長さは、データ・ユニットの全体の長さから4つのオクテットを減算することによって決定されます。受信機が正常にEPPメッセージを処理する前に、完全なEPP XMLインスタンスを取得するために多くのオクテットを読まなければなりません。
EPP Data Unit Format (one tick mark represents one bit position):
EPPデータユニットのフォーマット(1目盛りが1つのビット位置を表します):
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Total Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| EPP XML Instance |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+//-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Total Length (32 bits): The total length of the EPP data unit measured in octets in network (big endian) byte order. The octets contained in this field MUST be included in the total length calculation.
全体の長さ(32ビット):ネットワーク(ビッグエンディアン)バイト順序でオクテットで測定EPPデータユニットの長さの合計。このフィールドに含まれるオクテットは全長計算に含まれなければなりません。
EPP XML Instance (variable length): The EPP XML instance carried in the data unit.
EPP XMLインスタンス(可変長):データ単位で運ばEPP XMLインスタンス。
Section 2.1 of the EPP core protocol specification [RFC5730] describes considerations to be addressed by protocol transport mappings. This document addresses each of the considerations using a combination of features described in this document and features provided by TCP as follows:
EPPコアプロトコル仕様のセクション2.1 [RFC5730]はプロトコル・トランスポート・マッピングによって対処すべき考慮事項を記載しています。この文書では、このドキュメントと以下のようにTCPが提供する機能で説明する機能の組み合わせを使用して注意事項のそれぞれに対処します。
- TCP includes features to provide reliability, flow control, ordered delivery, and congestion control. Section 1.5 of RFC 793 [RFC0793] describes these features in detail; congestion control principles are described further in RFC 2581 [RFC2581] and RFC 2914 [RFC2914]. TCP is a connection-oriented protocol, and Section 2 of this document describes how EPP sessions are mapped to TCP connections.
- TCPフロー制御は、信頼性を提供するための機能が含まれ、配信、および輻輳制御を命じました。 RFC 793 [RFC0793]のセクション1.5は詳細にこれらの機能について説明します。輻輳制御の原理は、RFC 2581 [RFC2581]及びRFC 2914 [RFC2914]にさらに記載されています。 TCPは、コネクション型のプロトコルであり、本書の第2章では、EPPのセッションがTCP接続にマッピングする方法について説明します。
- Sections 2 and 3 of this document describe how the stateful nature of EPP is preserved through managed sessions and controlled message exchanges.
- このドキュメントのセクション2と3は、EPPのステートフルな性質は、管理セッションと制御メッセージ交換を通じて保存されている方法について説明します。
- Section 3 of this document notes that command pipelining is possible with TCP, though batch-oriented processing (combining multiple EPP commands in a single data unit) is not permitted.
- バッチ指向処理(合成複数EPPは、単一のデータユニットに命令)が、パイプラインはTCPで可能なコマンドこの文書ノートのセクション3は許可されません。
- Section 4 of this document describes features to frame data units by explicitly specifying the number of octets used to represent a data unit.
- このドキュメントのセクション4は、明示的にデータユニットを表すために使用されるオクテットの数を指定することにより、データユニットをフレームに特徴が記載されています。
This document does not introduce or present any internationalization or localization issues.
この文書では、導入したり任意の国際化やローカライズの問題を提示していません。
System port number 700 has been assigned by the IANA for mapping EPP onto TCP.
システムのポート番号700は、TCP上にマッピングEPPのためにIANAによって割り当てられています。
User port number 3121 (which was used for development and test purposes) has been reclaimed by the IANA.
(開発およびテストのために使用された)ユーザポート番号3121は、IANAによって回収されました。
EPP as-is provides only simple client authentication services using identifiers and plain text passwords. A passive attack is sufficient to recover client identifiers and passwords, allowing trivial command forgery. Protection against most other common attacks MUST be provided by other layered protocols.
EPPは、識別子と、プレーンテキストのパスワードを使用して、単純なクライアント認証サービスを提供として、です。受動的攻撃は些細なコマンドの偽造が可能、クライアント識別子とパスワードを回復するのに十分です。他のほとんどの一般的な攻撃に対する保護は、他の階層のプロトコルによって提供されなければなりません。
When layered over TCP, the Transport Layer Security (TLS) Protocol version 1.0 [RFC2246] or its successors (such as TLS 1.2 [RFC5246]), using the latest version supported by both parties, MUST be used to provide integrity, confidentiality, and mutual strong client-server authentication. Implementations of TLS often contain a weak cryptographic mode that SHOULD NOT be used to protect EPP. Clients and servers desiring high security SHOULD instead use TLS with cryptographic algorithms that are less susceptible to compromise.
TCP上に積層した場合、トランスポート層セキュリティ(TLS)プロトコルバージョン1.0 [RFC2246]やその後継者(のようなTLS 1.2 [RFC5246])、両当事者によってサポートされる最新バージョンを使用して、提供するために使用されなければならない、整合性、機密性、および相互の強力なクライアント - サーバー認証。 TLSの実装は、多くの場合、EPPを保護するために使用されるべきではない、弱い暗号化モードが含まれています。高いセキュリティを希望するクライアントとサーバーではなく、妥協影響を受けにくい暗号化アルゴリズムでTLSを使用すべきです。
Authentication using the TLS Handshake Protocol confirms the identity of the client and server machines. EPP uses an additional client identifier and password to identify and authenticate the client's user identity to the server, supplementing the machine authentication provided by TLS. The identity described in the client certificate and the identity described in the EPP client identifier can differ, as a server can assign multiple user identities for use from any particular client machine. Acceptable certificate identities MUST be negotiated between client operators and server operators using an out-of-band mechanism. Presented certificate identities MUST match negotiated identities before EPP service is granted.
TLSハンドシェイクプロトコルを使用した認証は、クライアントとサーバーマシンの身元を確認しました。 EPPは、TLSが提供するマシン認証を補完する、サーバーへのクライアントのユーザーIDを識別し、認証するために、追加のクライアント識別子とパスワードを使用しています。サーバは、特定のクライアントマシンから使用するために複数のユーザIDを割り当てることができるように、クライアント証明書とEPPクライアント識別子に記載アイデンティティに記載のアイデンティティは、異なることができます。受け入れ可能な証明書のアイデンティティは、アウトオブバンドメカニズムを使用して、クライアントの事業者やサーバーオペレータ間で交渉しなければなりません。 EPPサービスが付与される前に提示された証明書のアイデンティティは、アイデンティティの交渉を一致させる必要があります。
There is a risk of login credential compromise if a client does not properly identify a server before attempting to establish an EPP session. Before sending login credentials to the server, a client needs to confirm that the server certificate received in the TLS handshake is an expected certificate for the server. A client also needs to confirm that the greeting received from the server contains expected identification information. After establishing a TLS session and receiving an EPP greeting on a protected TCP connection, clients MUST compare the certificate subject and/or subjectAltName to expected server identification information and abort processing if a mismatch is detected. If certificate validation is successful, the client then needs to ensure that the information contained in the received certificate and greeting is consistent and appropriate. As described above, both checks typically require an out-of-band exchange of information between client and server to identify expected values before in-band connections are attempted.
クライアントが正しくEPPセッションを確立しようとする前に、サーバーを識別しない場合は、ログイン資格情報の妥協のリスクがあります。サーバーへのログイン資格情報を送信する前に、クライアントがTLSハンドシェイクで受信したサーバ証明書がサーバの予想の証明書であることを確認する必要があります。また、クライアントは、サーバーが予想される識別情報が含まれているから挨拶を受け取ったことを確認する必要があります。 TLSセッションを確立し、保護されたTCP接続上EPPグリーティングを受信した後、クライアントは、予想されるサーバ識別情報を証明書のサブジェクト及び/又はのsubjectAltNameを比較し、不一致が検出された場合、処理を中止しなければなりません。証明書の検証が成功した場合、クライアントは、受信した証明書と挨拶に含まれている情報は、一貫して適切であることを確認する必要があります。上述したように、両方のチェックは、典型的には、前にインバンド接続が試行されている期待値を識別するためにクライアントとサーバの間の情報のアウト・オブ・バンド交換を必要とします。
EPP TCP servers are vulnerable to common TCP denial-of-service attacks including TCP SYN flooding. Servers SHOULD take steps to minimize the impact of a denial-of-service attack using combinations of easily implemented solutions, such as deployment of firewall technology and border router filters to restrict inbound server access to known, trusted clients.
EPP TCPサーバは、TCP SYNフラッドなどの一般的なTCPサービス拒否攻撃に対して脆弱です。サーバは、そのような知られている、信頼できるクライアントへのインバウンドサーバへのアクセスを制限するために、ファイアウォール技術と境界ルータのフィルタの展開として簡単に実装ソリューションの組み合わせを使用して、サービス拒否攻撃の影響を最小化するための措置をとるべきです。
The client should initiate a connection to the server and then send the TLS Client Hello to begin the TLS handshake. When the TLS handshake has finished, the client can then send the first EPP message.
クライアントは、サーバーへの接続を開始し、その後、TLSハンドシェイクを開始するためにTLSクライアントのHelloを送信する必要があります。 TLSハンドシェイクが完了すると、クライアントは、最初のEPPメッセージを送ることができます。
TLS implementations are REQUIRED to support the mandatory cipher suite specified in the implemented version:
TLSの実装は実装のバージョンで指定された必須の暗号スイートをサポートしている必要があります:
o TLS 1.0 [RFC2246]: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
O TLS 1.0 [RFC2246]:TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
o TLS 1.1 [RFC4346]: TLS_RSA_WITH_3DES_EDE_CBC_SHA
O TLS 1.1 [RFC4346]:TLS_RSA_WITH_3DES_EDE_CBC_SHA
o TLS 1.2 [RFC5246]: TLS_RSA_WITH_AES_128_CBC_SHA
O TLS 1.2 [RFC5246]:TLS_RSA_WITH_AES_128_CBC_SHA
This document is assumed to apply to future versions of TLS, in which case the mandatory cipher suite for the implemented version MUST be supported.
この文書は、実装バージョンのために必須の暗号スイートをサポートしなければならない場合にはTLSの将来のバージョンに適用することが想定されます。
Mutual client and server authentication using the TLS Handshake Protocol is REQUIRED. Signatures on the complete certification path for both client machine and server machine MUST be validated as part of the TLS handshake. Information included in the client and server certificates, such as validity periods and machine names, MUST also be validated. A complete description of the issues associated with certification path validation can be found in RFC 5280 [RFC5280]. EPP service MUST NOT be granted until successful completion of a TLS handshake and certificate validation, ensuring that both the client machine and the server machine have been authenticated and cryptographic protections are in place.
TLSハンドシェイクプロトコルを使用して相互クライアントとサーバー認証が必要です。クライアントマシンとサーバマシンの両方のための完全な証明書パス上の署名は、TLSハンドシェイクの一部として検証する必要があります。そのような有効期間とマシン名として、クライアントとサーバーの証明書に含まれる情報は、また検証する必要があります。認証パスの検証に関連する問題の完全な説明は、RFC 5280 [RFC5280]に見出すことができます。 EPPサービスは、クライアントマシンとサーバーマシンの両方が認証され、暗号化保護が整っていることを確認して、TLSハンドシェイクと証明書の検証が正常に完了するまで許可されてはなりません。
If the client has external information as to the expected identity of the server, the server name check MAY be omitted. For instance, a client may be connecting to a machine whose address and server name are dynamic, but the client knows the certificate that the server will present. In such cases, it is important to narrow the scope of acceptable certificates as much as possible in order to prevent man-in-the-middle attacks. In special cases, it might be appropriate for the client to simply ignore the server's identity, but it needs to be understood that this leaves the connection open to active attack.
クライアントがサーバの予想身元のような外部の情報を持っている場合は、サーバー名チェックは省略されるかもしれません。例えば、クライアントは、そのアドレスとサーバ名を動的でマシンに接続することができるが、クライアントは、サーバーが提示する証明書を知っています。このような場合には、man-in-the-middle攻撃を防ぐために、できるだけ多くの許容可能な証明書の範囲を狭めることが重要です。特殊なケースでは、クライアントは、単にサーバーの身元を無視することが適切であるかもしれないが、それは、これは積極的な攻撃への接続を開いたままにすることを理解する必要があります。
During the TLS negotiation, the EPP client MUST check its understanding of the server name / IP address against the server's identity as presented in the server Certificate message in order to prevent man-in-the-middle attacks. In this section, the client's understanding of the server's identity is called the "reference identity". Checking is performed according to the following rules in the specified order:
man-in-the-middle攻撃を防ぐために、サーバ証明書メッセージに提示されるTLSネゴシエーションの間、EPPクライアントはサーバーのIDに対するサーバー名/ IPアドレスのその理解をチェックしなければなりません。このセクションでは、サーバーのIDのクライアントの理解は「基準アイデンティティ」と呼ばれています。指定された順序で次の規則に従って行われるチェック:
o If the reference identity is a server name:
O参照IDがサーバー名の場合:
* If a subjectAltName extension of the dNSName [CCITT.X509.1988] type is present in the server's certificate, then it SHOULD be used as the source of the server's identity. Matching is performed as described in Section 7.2 of [RFC5280], with the exception that wildcard matching (see below) is allowed for dNSName type. If the certificate contains multiple names (e.g., more than one dNSName field), then a match with any one of the fields is considered acceptable.
*のdNSName [CCITT.X509.1988]タイプのsubjectAltName拡張は、それはサーバのアイデンティティの源として使用する必要があり、サーバの証明書内に存在する場合。ワイルドカードマッチングが(下記参照)のdNSNameタイプに許容される以外は、[RFC5280]のセクション7.2に記載されているようにマッチングが行われます。証明書が複数の名前が含まれている場合(例えば、複数のdNSNameフィールドが)、その後のフィールドのいずれかとの一致が許容されると考えられます。
* The '*' (ASCII 42) wildcard character is allowed in subjectAltName values of type dNSName, and then only as the left-most (least significant) DNS label in that value. This wildcard matches any left-most DNS label in the server name. That is, the subject *.example.com matches the server names a.example.com and b.example.com, but does not match example.com or a.b.example.com.
*「*」(ASCII 42)ワイルドカード文字は、タイプのdNSNameのsubjectAltNameの値で許可されており、その後、その値だけでは、一番左の(最下位)DNSラベルとして。このワイルドカードは、サーバー名に任意の一番左のDNSラベルと一致します。つまり、対象* .example.comとは、サーバー名a.example.comとb.example.comと一致しますが、example.comまたはa.b.example.comと一致していないです。
* The server's identity MAY also be verified by comparing the reference identity to the Common Name (CN) [RFC4519] value in the leaf Relative Distinguished Name (RDN) of the subjectName field of the server's certificate. This comparison is performed using the rules for comparison of DNS names in bullet 1 above (including wildcard matching). Although the use of the Common Name value is existing practice, it is deprecated, and Certification Authorities are encouraged to provide subjectAltName values instead. Note that the TLS implementation may represent DNs in certificates according to X.500 or other conventions. For example, some X.500 implementations order the RDNs in a DN using a left-to-right (most significant to least significant) convention instead of LDAP's right-to-left convention.
*サーバーのIDは、サーバーの証明書のSubjectName項目の葉相対識別名(RDN)の共通名(CN)[RFC4519]の値を参照のIDとを比較することによって確認することができます。この比較は、(ワイルドカードマッチングを含む)上記弾丸1にDNS名を比較するためのルールを用いて行われます。共通名の値の使用は練習を既存しているが、これは廃止され、および認証機関が代わりのsubjectAltName値を提供することが奨励されています。 TLS実装がX.500または他の規則に従って証明書にDNを表してもよいことに留意されたいです。例えば、いくつかのX.500実装は左から右(最下位に最も重要な)条約の代わりに、LDAPの右から左への規則を使用してDN内のRDNを注文します。
o If the reference identity is an IP address:
Oリファレンスアイデンティティは、IPアドレスの場合:
* The iPAddress subjectAltName SHOULD be used by the client for comparison. In such a case, the reference identity MUST be converted to the "network byte order" octet string representation. For IP Version 4 (as specified in RFC 791 [RFC0791]), the octet string will contain exactly four octets. For IP Version 6 (as specified in RFC 2460 [RFC2460]), the octet string will contain exactly sixteen octets. This octet string is then compared against subjectAltName values of type iPAddress. A match occurs if the reference identity octet string and value octet strings are identical.
* IPアドレスのsubjectAltNameは、比較のために、クライアントによって使用されるべきです。このような場合には、基準同一性「は、ネットワークバイト順」オクテット文字列表現に変換されなければなりません。 IPバージョン4(RFC 791 [RFC0791]で指定)の場合は、オクテット文字列は正確に4オクテットを含んでいます。 IPバージョン6(RFC 2460で指定されるように、[RFC2460])の場合は、オクテット文字列は、正確に16オクテットを含んでいます。このオクテット文字列は、その後のタイプIPアドレスののsubjectAltName値と比較されます。参照アイデンティティオクテット文字列と値のオクテット文字列が同一である場合、一致が発生します。
If the server identity check fails, user-oriented clients SHOULD either notify the user (clients MAY give the user the opportunity to continue with the EPP session in this case) or close the transport connection and indicate that the server's identity is suspect. Automated clients SHOULD return or log an error indicating that the server's identity is suspect and/or SHOULD close the transport connection. Automated clients MAY provide a configuration setting that disables this check, but MUST provide a setting which enables it.
サーバーIDチェックが失敗した場合、ユーザー指向のクライアントは、ユーザーに通知する必要がありどちらか(クライアントは、ユーザーが、この場合、EPPセッションを継続する機会を与える場合があります)またはトランスポート接続を閉じ、サーバのアイデンティティが疑わしいであることを示しています。自動化されたクライアントは、サーバのアイデンティティが疑わしい及び/またはトランスポート接続を閉じる必要があることを示すエラーを返すか、ログインする必要があります。自動化されたクライアントは、このチェックを無効にしますが、それを可能に設定を提供しなければならない構成設定を提供することができます。
During the TLS negotiation, the EPP server MUST verify that the client certificate matches the reference identity previously negotiated out of band, as specified in Section 8. The server should match the entire subject name or the subjectAltName as described in RFC 5280. The server MAY enforce other restrictions on the subjectAltName, for example if it knows that a particular client is always connecting from a particular hostname / IP address.
TLSネゴシエーションの間、EPPサーバーがクライアント証明書は、以前に帯域外で交渉リファレンスアイデンティティと一致していることを確かめなければなりませんRFC 5280でサーバーを説明するように、セクション8で指定されたサーバーは、全体のサブジェクト名またはのsubjectAltNameと一致する必要がありMAYそれは特定のクライアントが常に特定のホスト名/ IPアドレスから接続していることを知っている場合、たとえば、のsubjectAltName上の他の制限を適用。
All EPP messages MUST be sent as TLS "application data". It is possible that multiple EPP messages are contained in one TLS record, or that an EPP message is transferred in multiple TLS records.
すべてのEPPメッセージは、TLS「アプリケーション・データ」として送らなければなりません。 EPPのメッセージが複数のTLSレコードに転送されていることを複数のEPPメッセージを1つのTLSレコードに含まれている可能性がある、または。
When no data is received from a connection for a long time (where the application decides what "long" means), a server MAY close the connection. The server MUST attempt to initiate an exchange of close_notify alerts with the client before closing the connection. Servers that are unprepared to receive any more data MAY close the connection after sending the close_notify alert, thus generating an incomplete close on the client side.
何もデータが(アプリケーションがどのような「長い」手段を決定する)、長い時間のための接続から受信されない場合は、サーバーは接続を閉じます。サーバが接続を閉じる前に、クライアントでは、close_notifyアラートの交換を開始しようとしなければなりません。任意のより多くのデータを受信する準備ができていないされているサーバーは、このように、クライアント側での不完全なクローズを生成し、は、close_notifyを送信した後、接続を閉じます。
RFC 3734 is a product of the PROVREG working group, which suggested improvements and provided many invaluable comments. The author wishes to acknowledge the efforts of WG chairs Edward Lewis and Jaap Akkerhuis for their process and editorial contributions. RFC 4934 and this document are individual submissions, based on the work done in RFC 3734.
RFC 3734には、改善を提案し、多くの貴重なコメントを提供しPROVREGワーキンググループの製品です。著者は彼らのプロセスと編集の貢献のためのWGの議長エドワード・ルイスとヤープAkkerhuisの努力を認めることを望みます。 RFC 4934と、この文書はRFC 3734で行われた作業に基づいて個々の提出、です。
Specific suggestions that have been incorporated into this document were provided by Chris Bason, Randy Bush, Patrik Faltstrom, Ned Freed, James Gould, Dan Manley, and John Immordino.
本文書に組み込まれている具体的な提案はクリスBason、ランディブッシュ、パトリックFaltstrom、ネッドフリード、ジェームズ・グールド、ダン・マンリー、ジョンImmordinoによって提供されました。
[CCITT.X509.1988] International Telephone and Telegraph Consultative Committee, "Information Technology - Open Systems Interconnection - The Directory: Authentication Framework", CCITT Recommendation X.509, November 1988.
[CCITT.X509.1988]国際電信電話諮問委員会、「情報技術 - 開放型システム間相互接続 - ディレクトリ:認証フレームワーク」、CCITT勧告X.509、1988年11月。
[RFC0791] Postel, J., "Internet Protocol", STD 5, RFC 791, September 1981.
[RFC0791]ポステル、J.、 "インターネットプロトコル"、STD 5、RFC 791、1981年9月。
[RFC0793] Postel, J., "Transmission Control Protocol", STD 7, RFC 793, September 1981.
[RFC0793]ポステル、J.、 "伝送制御プロトコル"、STD 7、RFC 793、1981年9月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2246] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.
[RFC2246]ダークス、T.とC.アレン、 "TLSプロトコルバージョン1.0"、RFC 2246、1999年1月。
[RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6 (IPv6) Specification", RFC 2460, December 1998.
[RFC2460]デアリング、S.とR. Hindenと、 "インターネットプロトコルバージョン6(IPv6)の仕様"、RFC 2460、1998年12月。
[RFC4519] Sciberras, A., "Lightweight Directory Access Protocol (LDAP): Schema for User Applications", RFC 4519, June 2006.
[RFC4519] Sciberras、A.、 "ライトウェイトディレクトリアクセスプロトコル(LDAP):ユーザー・アプリケーションのためのスキーマ"、RFC 4519、2006年6月。
[RFC5730] Hollenbeck, S., "Extensible Provisioning Protocol (EPP)", STD 69, RFC 5730, August 2009.
[RFC5730]ホレンベック、S.、 "拡張可能なプロビジョニングプロトコル(EPP)"、STD 69、RFC 5730、2009年8月。
[RFC2581] Allman, M., Paxson, V., and W. Stevens, "TCP Congestion Control", RFC 2581, April 1999.
[RFC2581]オールマン、M.、パクソン、V.、およびW.スティーブンス、 "TCP輻輳制御"、RFC 2581、1999年4月。
[RFC2914] Floyd, S., "Congestion Control Principles", BCP 41, RFC 2914, September 2000.
[RFC2914]フロイド、S.、 "輻輳制御の原理"、BCP 41、RFC 2914、2000年9月。
[RFC4346] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.
[RFC4346]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ(TLS)プロトコルバージョン1.1"、RFC 4346、2006年4月。
[RFC4934] Hollenbeck, S., "Extensible Provisioning Protocol (EPP) Transport Over TCP", RFC 4934, May 2007.
[RFC4934]ホレンベック、S.、 "拡張プロビジョニングプロトコル(EPP)トランスポート上でTCP"、RFC 4934、2007年5月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246]ダークス、T.およびE.レスコラ、 "トランスポート層セキュリティ(TLS)プロトコルバージョン1.2"、RFC 5246、2008年8月。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.
[RFC5280]クーパー、D.、Santesson、S.、ファレル、S.、Boeyen、S.、Housley氏、R.、およびW.ポーク、「インターネットX.509公開鍵暗号基盤証明書と証明書失効リスト(CRL)のプロフィール」、RFC 5280、2008年5月。
Appendix A. Changes from
付録A.からの変更点
1. Changed "This document obsoletes RFC 3734" to "This document obsoletes RFC 4934".
1.変更し、「この文書はRFC 4934を廃止」に「このドキュメントは、RFC 3734を廃止します」。
4. Updated references to RFC 4346 and TLS 1.1 with references to 5246 and TLS 1.2.
5246およびTLS 1.2への参照を持つRFC 4346およびTLS 1.1へ4.参照を更新。
6. Added clarifying TLS Usage Profile section and included references.
6. TLS使用プロフィールのセクションを明確に追加され、参照が含まれていました。
7. Moved the paragraph that begins with "Mutual client and server authentication" from the Security Considerations section to the TLS Usage Profile section.
7. TLS使用プロフィールセクションにSecurity Considerations部から「相互クライアントとサーバー認証」で始まる段落を移動しました。
Author's Address
著者のアドレス
Scott Hollenbeck VeriSign, Inc. 21345 Ridgetop Circle Dulles, VA 20166-6503 US
スコットホレンベックベリサイン社21345 Ridgetopサークルダレス、バージニア州20166から6503米
EMail: shollenbeck@verisign.com
メールアドレス:shollenbeck@verisign.com