More Related Content
Similar to Ietf91報告 httpbis-httpauth (20)
More from Kaoru Maeda (12)
Ietf91報告 httpbis-httpauth
- 1. https://lepidum.co.jp/ Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.
IETF91 Honolulu
http関連 WGレポート
株式会社レピダム
前田 薫 (@mad_p)
IETF91報告会 2014/12/19
IETF91報告会2014/12/19
- 2. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Agenda
自己紹介
httpbis WG
httpauth WG
IETF91
Honolulu, HI
2014/11/09-14
- 3. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
自己紹介
名前
前田 薫
所属
株式会社レピダム
シニアプログラマ
マネージャ
コミュニティー活動
Lightweight Language
Identity Conference
http2勉強会
業務領域
認証・認可、デジタル
アイデンティティー、
プライバシー
標準化支援
ソフトウェアセキュリ
ティー、脆弱性
IETF91報告会2014/12/19
3
- 5. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
httpbis WG
Tuesday
HTTP/2: 9.2.2問題、クライアント認証他
Wednesday
HTTP/2: 日本からの報告
proxy関連他
議事録
https://github.com/httpwg/wg-materials/blob/gh-
pages/ietf91/minutes.md
IETF91報告会2014/12/19
5
- 6. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
HTTP/2 Status as of Today
HTTP/2 draft-16, HPACK draft-10
draft-ietf-httpbis-http2-16
draft-ietf-httpbis-header-compression-10
主要な論点は議論が終わり、publication request
が出された
Honoluluでの議論が反映されたバージョン
IETF91報告会2014/12/19
6
- 8. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
9.2.2問題
HTTP/2仕様のセクション9.2.2
HTTP/2はcipher suiteに関する制限が強い
ephemeral key exchange (DHE, ECDHE), 圧縮なし,
etc.
INADEQUATE_SECURITYで接続を切る(MUST)
TLSのcipher negotiationとALPNが協調して
cipheを選択しなければならない
どちらの標準にもそんなことは記述がない
IETF91報告会2014/12/19
8
- 9. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
white list案
9.2.2解決案
以下の6ステップで
1. Make cipher suite requirements specific to TLS 1.2
2. Nominate a fixed list of suites for use with H2+TLS12
3. Keep the required interop suite (mandatory to
deploy)
4. Clarify that cipher suite requirements apply to
deployments, not impl
5. Relax requirement to generate
INADEQUATE_SECURITY
6. Require support for TLS_FALLBACK_SCSV w/ TLS1.3+
(?)
IETF91報告会2014/12/19
9
- 10. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
議論の結果
black list案:
既知のダメなスイートを静的に持つ
white list案では新規スイートが使われない
if the cipher suite selected for h2 is...
BAD = peer MAY INADEQUATE_SECURITY
!BAD = peer MUST NOT INADEQUATE_SECURITY
BAD: fixed in-spec black list
→ draft-16では276個のcipher suiteを禁止
生き残ったのが42個
IETF91報告会2014/12/19
10
- 12. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
HTTP/2 Local Activities in Japan
急遽5分もらって発表
http2 conference紹介
最速実装ライブコーディング
実装一覧
活動紹介「issuethon」
nghttp2
リファレンス実装
IETF91報告会2014/12/19
12
- 14. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Client Authentication over New TLS
Connection
draft-thomson-httpbis-cant
HTTP/2 over TLS1.2 や TLS1.3ではrenegotiationが禁止
される/存在しない
spontaneous client authentication
connectionを使い回している状態で後から認証が必要に
なった場合
これまではrenegotiationで対応していた
今後は401を返し、TLS接続からやり直す
そのためのヘッダを提案
401 Unauthorized
WWW-Authenticate: ClientCertificate realm="home", sha-
256=NjUw...
IETF91報告会2014/12/19
14
- 15. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Proxies
Web Proxy Description draft-nottingham-web-proxy-desc
WPD Proxiesというのを定義しよう
MUST support HTTP/2; Clients MUST use HTTP/2 over TLS
SHOULD support CONNECT
Web Proxy Description (WPD) Format (JSON)も定義
PACは?
trusted middleboxはセキュリティー上はよくない。
PRISMのような場合、システム管理者をねらってエンド
ユーザーに知られずに盗聴しかけるのが心配
explicitly configured and working on behalf of user agentと
いうのはいまのプロキシの実態に合っていない。いま
のプロキシはon behalf of networkで動いている
middle-boxの扱いについてはi2rs BoFもある。AD預かり
IETF91報告会2014/12/19
15
- 16. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Proxies
WPD Proxy Discovery
http://www.ietf.org/proceedings/91/slides/slides-91-
httpbis-0.pdf
draft-chow-httpbis-proxy-discovery-00
https://??authority??/.well-known/web-desc-proxy
誰に聞くかという問題がある。ここでhttpsである
ことが重要
オリジンauthorityを送るとMITM可能という問題
最初に返事した者が正しいという保証はない。特
にhotspotでは。最初のauthorityをどこに書くか
本来security areaで扱うべき問題では?
IETF91報告会2014/12/19
16
- 18. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
httpauth WG
Friday
character set
Basic Update
Digest Update
HOBA
議事録
http://tools.ietf.org/wg/httpauth/minutes
IETF91報告会2014/12/19
18
- 19. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Allowed character set issue
ログイン名やパスワードに使用できる文字
セットをprecis WGで検討中
saslprepbisとbasic authの間でidentifierに使用で
きる文字セットに違いがある
例: black chess king「♚」
saslprepbisでは禁止
basic authでは特に禁止されていない
Precisで安全な文字として定義されたものは
Basic認証でも使えなければならない(MUST)
それ以外のものも使えてもよい(MAY)
IETF91報告会2014/12/19
19
- 20. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Basic認証
draft-ietf-httpauth-basicauth-update-03
新しいパラメータ
charset
WWW-Authenticate: Basic realm="foo",
charset="UTF-8"
username: MLで提案されたが採用はせず
extensibility
レジストリを用意するほどではない
character setはprecis WGの成果にしたがう
IETF91報告会2014/12/19
20
- 21. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Digest認証
draft-ietf-httpauth-digest-09
WGLCは終了。メジャーな問題はない
Unicode NFC/NFDの問題
Unicode正規化前後で認証不可能
クライアントは正規化しなければならない(MUST)
サーバー処理は明示せず
charset: 明示しないと相互運用性の問題に
明示するとしたらUTF-8がISO-8859-1よりよい
再度のWGLC (Basicの後)
IETF91報告会2014/12/19
21
- 22. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
HTTP Origin-Bound Authentication
HOBA
draft-ietf-httpauth-hoba-07
クライアント側でキーペアを作成することによ
り認証
IESGへ送られた
IETF91報告会2014/12/19
22
- 23. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
まとめ
HTTP/2
IESGへ
日本からの貢献も
httpauth
Basic, Digest認証の修正がWGLC
HOBAがIESGへ
charsetの問題はprecis WGで進んでいる
IETF91報告会2014/12/19
23
- 24. Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Any Questions? / Please Feedback!
https://lepidum.co.jp/
mailto:maeda@lepidum.co.jp / twitter: @mad_p
IETF91報告会2014/12/19
