ietf91報告 httpbis-httpauth
TRANSCRIPT
https://lepidum.co.jp/ Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.
IETF91 Honoluluhttp関連WGレポート
株式会社レピダム
前田薫 (@mad_p)
IETF91報告会 2014/12/19
IETF91報告会2014/12/19
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Agenda
自己紹介
httpbis WG
httpauth WG
IETF91
Honolulu, HI
2014/11/09-14
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
自己紹介
名前 前田薫
所属 株式会社レピダムシニアプログラママネージャ
コミュニティー活動 Lightweight Language
Identity Conference
http2勉強会
業務領域
認証・認可、デジタルアイデンティティー、プライバシー
標準化支援
ソフトウェアセキュリティー、脆弱性
IETF91報告会2014/12/19
3
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
httpbis WG
Tuesday HTTP/2: 9.2.2問題、クライアント認証他
Wednesday HTTP/2: 日本からの報告
proxy関連他
議事録
https://github.com/httpwg/wg-materials/blob/gh-pages/ietf91/minutes.md
IETF91報告会2014/12/19
5
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
HTTP/2 Status as of Today
HTTP/2 draft-16, HPACK draft-10
draft-ietf-httpbis-http2-16
draft-ietf-httpbis-header-compression-10
主要な論点は議論が終わり、publication requestが出された
Honoluluでの議論が反映されたバージョン
IETF91報告会2014/12/19
6
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
9.2.2問題
HTTP/2仕様のセクション9.2.2
HTTP/2はcipher suiteに関する制限が強い
ephemeral key exchange (DHE, ECDHE), 圧縮なし,
etc.
INADEQUATE_SECURITYで接続を切る(MUST)
TLSのcipher negotiationとALPNが協調してcipheを選択しなければならない
どちらの標準にもそんなことは記述がない
IETF91報告会2014/12/19
8
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
white list案
9.2.2解決案
以下の6ステップで 1. Make cipher suite requirements specific to TLS 1.2 2. Nominate a fixed list of suites for use with H2+TLS12 3. Keep the required interop suite (mandatory to
deploy) 4. Clarify that cipher suite requirements apply to
deployments, not impl 5. Relax requirement to generate
INADEQUATE_SECURITY 6. Require support for TLS_FALLBACK_SCSV w/ TLS1.3+
(?)
IETF91報告会2014/12/19
9
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
議論の結果
black list案: 既知のダメなスイートを静的に持つ
white list案では新規スイートが使われない
if the cipher suite selected for h2 is... BAD = peer MAY INADEQUATE_SECURITY
!BAD = peer MUST NOT INADEQUATE_SECURITY
BAD: fixed in-spec black list
→ draft-16では276個のcipher suiteを禁止 生き残ったのが42個
IETF91報告会2014/12/19
10
#http2study
http2.info
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
HTTP/2 Local Activities in Japan
急遽5分もらって発表
http2 conference紹介
最速実装ライブコーディング
実装一覧
活動紹介「issuethon」
nghttp2 リファレンス実装
IETF91報告会2014/12/19
12
Other Issues
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Client Authentication over New TLS Connection
draft-thomson-httpbis-cant
HTTP/2 over TLS1.2 や TLS1.3ではrenegotiationが禁止される/存在しない
spontaneous client authentication connectionを使い回している状態で後から認証が必要になった場合
これまではrenegotiationで対応していた 今後は401を返し、TLS接続からやり直す
そのためのヘッダを提案 401 Unauthorized
WWW-Authenticate: ClientCertificate realm="home", sha-256=NjUw...
IETF91報告会2014/12/19
14
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Proxies
Web Proxy Description draft-nottingham-web-proxy-desc WPD Proxiesというのを定義しよう
MUST support HTTP/2; Clients MUST use HTTP/2 over TLS SHOULD support CONNECT
Web Proxy Description (WPD) Format (JSON)も定義 PACは? trusted middleboxはセキュリティー上はよくない。
PRISMのような場合、システム管理者をねらってエンドユーザーに知られずに盗聴しかけるのが心配
explicitly configured and working on behalf of user agentというのはいまのプロキシの実態に合っていない。いまのプロキシはon behalf of networkで動いている
middle-boxの扱いについてはi2rs BoFもある。AD預かり
IETF91報告会2014/12/19
15
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Proxies
WPD Proxy Discovery http://www.ietf.org/proceedings/91/slides/slides-91-
httpbis-0.pdf draft-chow-httpbis-proxy-discovery-00 https://??authority??/.well-known/web-desc-proxy 誰に聞くかという問題がある。ここでhttpsであることが重要
オリジンauthorityを送るとMITM可能という問題 最初に返事した者が正しいという保証はない。特にhotspotでは。最初のauthorityをどこに書くか
本来security areaで扱うべき問題では?
IETF91報告会2014/12/19
16
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
httpauth WG
Friday
character set
Basic Update
Digest Update
HOBA
議事録
http://tools.ietf.org/wg/httpauth/minutes
IETF91報告会2014/12/19
18
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Allowed character set issue
ログイン名やパスワードに使用できる文字セットをprecis WGで検討中
saslprepbisとbasic authの間でidentifierに使用できる文字セットに違いがある
例: black chess king「♚」 saslprepbisでは禁止 basic authでは特に禁止されていない
Precisで安全な文字として定義されたものはBasic認証でも使えなければならない(MUST) それ以外のものも使えてもよい(MAY)
IETF91報告会2014/12/19
19
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Basic認証
draft-ietf-httpauth-basicauth-update-03
新しいパラメータ charset
WWW-Authenticate: Basic realm="foo",
charset="UTF-8"
username: MLで提案されたが採用はせず
extensibility レジストリを用意するほどではない
character setはprecis WGの成果にしたがう
IETF91報告会2014/12/19
20
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Digest認証
draft-ietf-httpauth-digest-09
WGLCは終了。メジャーな問題はない
Unicode NFC/NFDの問題 Unicode正規化前後で認証不可能
クライアントは正規化しなければならない(MUST)
サーバー処理は明示せず
charset: 明示しないと相互運用性の問題に 明示するとしたらUTF-8がISO-8859-1よりよい
再度のWGLC (Basicの後)
IETF91報告会2014/12/19
21
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
HTTP Origin-Bound Authentication
HOBA
draft-ietf-httpauth-hoba-07
クライアント側でキーペアを作成することにより認証
IESGへ送られた
IETF91報告会2014/12/19
22
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
まとめ
HTTP/2 IESGへ
日本からの貢献も
httpauth Basic, Digest認証の修正がWGLC
HOBAがIESGへ
charsetの問題はprecis WGで進んでいる
IETF91報告会2014/12/19
23
Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Any Questions? / Please Feedback!
https://lepidum.co.jp/
mailto:[email protected] / twitter: @mad_p
IETF91報告会2014/12/19