[要約] RFC 5734は、EPP(Extensible Provisioning Protocol)のTCP上での転送に関する仕様です。このRFCの目的は、EPPをTCPプロトコル上で使用するための要件と手順を定義することです。

Network Working Group                                      S. Hollenbeck
Request for Comments: 5734                                VeriSign, Inc.
STD: 69                                                      August 2009
Obsoletes: 4934
Category: Standards Track
        

Extensible Provisioning Protocol (EPP) Transport over TCP

TCPを介した拡張可能なプロビジョニングプロトコル(EPP)輸送

Abstract

概要

This document describes how an Extensible Provisioning Protocol (EPP) session is mapped onto a single Transmission Control Protocol (TCP) connection. This mapping requires use of the Transport Layer Security (TLS) protocol to protect information exchanged between an EPP client and an EPP server. This document obsoletes RFC 4934.

このドキュメントでは、拡張可能なプロビジョニングプロトコル(EPP)セッションが単一の伝送制御プロトコル(TCP)接続にどのようにマッピングされるかについて説明します。このマッピングには、EPPクライアントとEPPサーバーの間で交換される情報を保護するために、トランスポートレイヤーセキュリティ(TLS)プロトコルを使用する必要があります。このドキュメントは、RFC 4934を廃止します。

Status of This Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2009 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.

このドキュメントは、BCP 78およびこのドキュメントの公開日(http://trustee.ietf.org/license-info)に有効なIETFドキュメントに関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。

Table of Contents

目次

   1. Introduction ....................................................2
      1.1. Conventions Used in This Document ..........................2
   2. Session Management ..............................................2
   3. Message Exchange ................................................3
   4. Data Unit Format ................................................6
   5. Transport Considerations ........................................6
   6. Internationalization Considerations .............................7
   7. IANA Considerations .............................................7
   8. Security Considerations .........................................7
   9. TLS Usage Profile ...............................................8
   10. Acknowledgements ..............................................11
   11. References ....................................................11
      11.1. Normative References .....................................11
      11.2. Informative References ...................................12
   Appendix A.  Changes from RFC 4934 ................................13
        
1. Introduction
1. はじめに

This document describes how the Extensible Provisioning Protocol (EPP) is mapped onto a single client-server TCP connection. Security services beyond those defined in EPP are provided by the Transport Layer Security (TLS) Protocol [RFC2246]. EPP is described in [RFC5730]. TCP is described in [RFC0793]. This document obsoletes RFC 4934 [RFC4934].

このドキュメントでは、拡張可能なプロビジョニングプロトコル(EPP)が単一のクライアントサーバーTCP接続にどのようにマッピングされるかについて説明します。EPPで定義されているものを超えるセキュリティサービスは、輸送層セキュリティ(TLS)プロトコル[RFC2246]によって提供されます。EPPは[RFC5730]で説明されています。TCPは[RFC0793]で説明されています。このドキュメントは、RFC 4934 [RFC4934]を廃止します。

1.1. Conventions Used in This Document
1.1. このドキュメントで使用されている規則

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

「必須」、「そうしない」、「必須」、「必要」、「しない」、「そうしない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[RFC2119]に記載されているように解釈される。

2. Session Management
2. セッション管理

Mapping EPP session management facilities onto the TCP service is straightforward. An EPP session first requires creation of a TCP connection between two peers, one that initiates the connection request and one that responds to the connection request. The initiating peer is called the "client", and the responding peer is called the "server". An EPP server MUST listen for TCP connection requests on a standard TCP port assigned by IANA.

EPPセッション管理施設をTCPサービスにマッピングするのは簡単です。EPPセッションでは、最初に2つのピア間のTCP接続を作成する必要があります。これは、接続要求を開始するピアと接続要求に応答するものです。開始ピアは「クライアント」と呼ばれ、応答するピアは「サーバー」と呼ばれます。EPPサーバーは、IANAによって割り当てられた標準のTCPポートでTCP接続要求をリッスンする必要があります。

The client MUST issue an active OPEN call, specifying the TCP port number on which the server is listening for EPP connection attempts. The EPP server MUST return an EPP <greeting> to the client after the TCP session has been established.

クライアントは、EPP接続の試みをサーバーがリッスンしているTCPポート番号を指定して、アクティブなオープンコールを発行する必要があります。EPPサーバーは、TCPセッションが確立された後、EPP <グリーティング>をクライアントに返す必要があります。

An EPP session is normally ended by the client issuing an EPP <logout> command. A server receiving an EPP <logout> command MUST end the EPP session and close the TCP connection with a CLOSE call. A client MAY end an EPP session by issuing a CLOSE call.

EPPセッションは通常、クライアントがEPP <Logout>コマンドを発行することによって終了します。EPP <Logout>コマンドを受信するサーバーは、EPPセッションを終了し、クローズコールでTCP接続を閉じる必要があります。クライアントは、緊密なコールを発行することにより、EPPセッションを終了する場合があります。

A server MAY limit the life span of an established TCP connection. EPP sessions that are inactive for more than a server-defined period MAY be ended by a server issuing a CLOSE call. A server MAY also close TCP connections that have been open and active for longer than a server-defined period.

サーバーは、確立されたTCP接続の寿命を制限する場合があります。サーバー定義の期間以上に非アクティブなEPPセッションは、緊密な呼び出しを発行するサーバーによって終了する場合があります。サーバーは、サーバー定義の期間よりも長い間オープンでアクティブなTCP接続を閉じることもできます。

3. Message Exchange
3. メッセージ交換

With the exception of the EPP server greeting, EPP messages are initiated by the EPP client in the form of EPP commands. An EPP server MUST return an EPP response to an EPP command on the same TCP connection that carried the command. If the TCP connection is closed after a server receives and successfully processes a command but before the response can be returned to the client, the server MAY attempt to undo the effects of the command to ensure a consistent state between the client and the server. EPP commands are idempotent, so processing a command more than once produces the same net effect on the repository as successfully processing the command once.

EPPサーバーのグリーティングを除き、EPPメッセージはEPPクライアントによってEPPコマンドの形で開始されます。EPPサーバーは、コマンドを伝えた同じTCP接続上のEPPコマンドにEPP応答を返す必要があります。サーバーがコマンドを受信して正常に処理した後にTCP接続が閉じられているが、応答がクライアントに返される前に、サーバーはコマンドの効果を元に戻して、クライアントとサーバーの間に一貫した状態を確保することを試みることができます。EPPコマンドはiDempotentであるため、コマンドを複数回処理すると、コマンドを1回正常に処理するのと同じ正味効果がリポジトリに生成されます。

An EPP client streams EPP commands to an EPP server on an established TCP connection. A client MUST NOT distribute commands from a single EPP session over multiple TCP connections. A client MAY establish multiple TCP connections to support multiple EPP sessions with each session mapped to a single connection. A server SHOULD limit a client to a maximum number of TCP connections based on server capabilities and operational load.

EPPクライアントは、確立されたTCP接続でEPPコマンドをEPPサーバーにストリーミングします。クライアントは、複数のTCP接続で単一のEPPセッションからコマンドを配布してはなりません。クライアントは、複数のTCP接続を確立して、各セッションが単一の接続にマッピングされた複数のEPPセッションをサポートする場合があります。サーバーは、サーバー機能と運用負荷に基づいて、クライアントを最大数のTCP接続に制限する必要があります。

EPP describes client-server interaction as a command-response exchange where the client sends one command to the server and the server returns one response to the client. A client might be able to realize a slight performance gain by pipelining (sending more than one command before a response for the first command is received) commands with TCP transport, but this feature does not change the basic single command, single response operating mode of the core protocol.

EPPは、クライアントサーバーの相互作用を、クライアントがサーバーに1つのコマンドを送信し、サーバーがクライアントに1つの応答を返すコマンド応答交換として説明します。クライアントは、TCPトランスポートを使用してパイプラインによるわずかなパフォーマンスゲイン(最初のコマンドの応答が受信される前に複数のコマンドを送信する)を実現できる可能性がありますが、この機能は基本的な単一コマンド、単一の応答動作モードを変更しません。コアプロトコル。

Each EPP data unit MUST contain a single EPP message. Commands MUST be processed independently and in the same order as sent from the client.

各EPPデータユニットには、単一のEPPメッセージが含まれている必要があります。コマンドは、クライアントから送信されたものと同じ順序で独立して処理する必要があります。

A server SHOULD impose a limit on the amount of time required for a client to issue a well-formed EPP command. A server SHOULD end an EPP session and close an open TCP connection if a well-formed command is not received within the time limit.

サーバーは、クライアントが適切に形成されたEPPコマンドを発行するために必要な時間に制限を課す必要があります。サーバーは、EPPセッションを終了し、制限時間内に適切に形成されたコマンドが受信されない場合は、Open TCP接続を閉じる必要があります。

A general state machine for an EPP server is described in Section 2 of [RFC5730]. General client-server message exchange using TCP transport is illustrated in Figure 1.

EPPサーバーの一般的なマシンは、[RFC5730]のセクション2で説明されています。TCPトランスポートを使用した一般的なクライアントサーバーメッセージ交換を図1に示します。

                       Client                  Server
                  |                                     |
                  |                Connect              |
                  | >>------------------------------->> |
                  |                                     |
                  |             Send Greeting           |
                  | <<-------------------------------<< |
                  |                                     |
                  |             Send <login>            |
                  | >>------------------------------->> |
                  |                                     |
                  |             Send Response           |
                  | <<-------------------------------<< |
                  |                                     |
                  |             Send Command            |
                  | >>------------------------------->> |
                  |                                     |
                  |             Send Response           |
                  | <<-------------------------------<< |
                  |                                     |
                  |            Send Command X           |
                  | >>------------------------------->> |
                  |                                     |
                  |    Send Command Y                   |
                  | >>---------------+                  |
                  |                  |                  |
                  |                  |                  |
                  |            Send Response X          |
                  | <<---------------(---------------<< |
                  |                  |                  |
                  |                  |                  |
                  |                  +--------------->> |
                  |                                     |
                  |            Send Response Y          |
                  | <<-------------------------------<< |
                  |                                     |
                  |             Send <logout>           |
                  | >>------------------------------->> |
                  |                                     |
                  |     Send Response & Disconnect      |
                  | <<-------------------------------<< |
                  |                                     |
        

Figure 1: TCP Client-Server Message Exchange

図1:TCPクライアントサーバーメッセージ交換

4. Data Unit Format
4. データユニット形式

The EPP data unit contains two fields: a 32-bit header that describes the total length of the data unit, and the EPP XML instance. The length of the EPP XML instance is determined by subtracting four octets from the total length of the data unit. A receiver must successfully read that many octets to retrieve the complete EPP XML instance before processing the EPP message.

EPPデータユニットには、データユニットの全長とEPP XMLインスタンスを記述する32ビットヘッダーの2つのフィールドが含まれています。EPP XMLインスタンスの長さは、データユニットの全長から4オクテットを差し引くことによって決定されます。レシーバーは、EPPメッセージを処理する前に、完全なEPP XMLインスタンスを取得するために、その多くのオクテットを正常に読み取る必要があります。

EPP Data Unit Format (one tick mark represents one bit position):

EPPデータユニット形式(1つのティックマークが1つのビット位置を表します):

       0                   1                   2                   3
       0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                           Total Length                        |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                         EPP XML Instance                      |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+//-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Total Length (32 bits): The total length of the EPP data unit measured in octets in network (big endian) byte order. The octets contained in this field MUST be included in the total length calculation.

全長(32ビット):ネットワーク(ビッグエンディアン)バイトの順序でオクテットで測定されたEPPデータユニットの全長。このフィールドに含まれるオクテットは、合計長さの計算に含める必要があります。

EPP XML Instance (variable length): The EPP XML instance carried in the data unit.

EPP XMLインスタンス(可変長):データユニットに掲載されたEPP XMLインスタンス。

5. Transport Considerations
5. 輸送上の考慮事項

Section 2.1 of the EPP core protocol specification [RFC5730] describes considerations to be addressed by protocol transport mappings. This document addresses each of the considerations using a combination of features described in this document and features provided by TCP as follows:

EPPコアプロトコル仕様[RFC5730]のセクション2.1では、プロトコルトランスポートマッピングで対処すべき考慮事項について説明します。このドキュメントは、このドキュメントで説明されている機能とTCPが提供する機能の組み合わせを次のように使用して、それぞれの考慮事項を扱います。

- TCP includes features to provide reliability, flow control, ordered delivery, and congestion control. Section 1.5 of RFC 793 [RFC0793] describes these features in detail; congestion control principles are described further in RFC 2581 [RFC2581] and RFC 2914 [RFC2914]. TCP is a connection-oriented protocol, and Section 2 of this document describes how EPP sessions are mapped to TCP connections.

- TCPには、信頼性、フロー制御、順序付けされた配信、および混雑制御を提供する機能が含まれています。RFC 793 [RFC0793]のセクション1.5については、これらの機能について詳しく説明しています。混雑制御原則は、RFC 2581 [RFC2581]およびRFC 2914 [RFC2914]でさらに説明されています。TCPは接続指向のプロトコルであり、このドキュメントのセクション2では、EPPセッションがTCP接続にマッピングされる方法について説明します。

- Sections 2 and 3 of this document describe how the stateful nature of EPP is preserved through managed sessions and controlled message exchanges.

- このドキュメントのセクション2および3は、EPPのステートフルな性質が、管理されたセッションと制御されたメッセージ交換を通じてどのように保持されているかを説明しています。

- Section 3 of this document notes that command pipelining is possible with TCP, though batch-oriented processing (combining multiple EPP commands in a single data unit) is not permitted.

- このドキュメントのセクション3は、TCPでコマンドパイプラインが可能であることに注目していますが、バッチ指向の処理(単一のデータユニットで複数のEPPコマンドを組み合わせる)は許可されていません。

- Section 4 of this document describes features to frame data units by explicitly specifying the number of octets used to represent a data unit.

- このドキュメントのセクション4では、データユニットを表すために使用されるオクテットの数を明示的に指定することにより、データユニットをフレーム化する機能について説明します。

6. Internationalization Considerations
6. 国際化の考慮事項

This document does not introduce or present any internationalization or localization issues.

このドキュメントでは、国際化やローカリゼーションの問題を導入または提示しません。

7. IANA Considerations
7. IANAの考慮事項

System port number 700 has been assigned by the IANA for mapping EPP onto TCP.

システムポート番号700は、EPPをTCPにマッピングするためにIANAによって割り当てられています。

User port number 3121 (which was used for development and test purposes) has been reclaimed by the IANA.

ユーザーポート番号3121(開発およびテストの目的で使用されていました)は、IANAによって再生されました。

8. Security Considerations
8. セキュリティに関する考慮事項

EPP as-is provides only simple client authentication services using identifiers and plain text passwords. A passive attack is sufficient to recover client identifiers and passwords, allowing trivial command forgery. Protection against most other common attacks MUST be provided by other layered protocols.

EPP AS-ISは、識別子とプレーンテキストのパスワードを使用して、簡単なクライアント認証サービスのみを提供します。パッシブ攻撃では、クライアントの識別子とパスワードを回復するのに十分であり、些細なコマンドフォーファリーを許可します。他のほとんどの一般的な攻撃に対する保護は、他の層状プロトコルによって提供されなければなりません。

When layered over TCP, the Transport Layer Security (TLS) Protocol version 1.0 [RFC2246] or its successors (such as TLS 1.2 [RFC5246]), using the latest version supported by both parties, MUST be used to provide integrity, confidentiality, and mutual strong client-server authentication. Implementations of TLS often contain a weak cryptographic mode that SHOULD NOT be used to protect EPP. Clients and servers desiring high security SHOULD instead use TLS with cryptographic algorithms that are less susceptible to compromise.

TCPを介して階層化された場合、輸送層セキュリティ(TLS)プロトコルバージョン1.0 [RFC2246]またはその後継者(TLS 1.2 [RFC5246]など)を使用して、整合性、機密性、および機密性を提供するために使用する必要があります。相互強力なクライアントサーバー認証。TLSの実装には、多くの場合、EPPを保護するために使用してはならない弱い暗号化モードが含まれています。高いセキュリティを希望するクライアントとサーバーは、代わりに、妥協の影響を受けにくい暗号化アルゴリズムでTLSを使用する必要があります。

Authentication using the TLS Handshake Protocol confirms the identity of the client and server machines. EPP uses an additional client identifier and password to identify and authenticate the client's user identity to the server, supplementing the machine authentication provided by TLS. The identity described in the client certificate and the identity described in the EPP client identifier can differ, as a server can assign multiple user identities for use from any particular client machine. Acceptable certificate identities MUST be negotiated between client operators and server operators using an out-of-band mechanism. Presented certificate identities MUST match negotiated identities before EPP service is granted.

TLSハンドシェイクプロトコルを使用した認証は、クライアントマシンとサーバーマシンのIDを確認します。EPPは、追加のクライアント識別子とパスワードを使用して、クライアントのユーザーIDをサーバーに識別および認証し、TLSが提供するマシン認証を補完します。クライアント証明書に記載されているIDとEPPクライアント識別子で説明されているIDは、特定のクライアントマシンから使用するために複数のユーザー識別を割り当てることができるため、異なる場合があります。許容可能な証明書IDは、帯域外のメカニズムを使用して、クライアントオペレーターとサーバーオペレーターの間で交渉する必要があります。提示された証明書IDは、EPPサービスが付与される前に、交渉済みのIDと一致する必要があります。

There is a risk of login credential compromise if a client does not properly identify a server before attempting to establish an EPP session. Before sending login credentials to the server, a client needs to confirm that the server certificate received in the TLS handshake is an expected certificate for the server. A client also needs to confirm that the greeting received from the server contains expected identification information. After establishing a TLS session and receiving an EPP greeting on a protected TCP connection, clients MUST compare the certificate subject and/or subjectAltName to expected server identification information and abort processing if a mismatch is detected. If certificate validation is successful, the client then needs to ensure that the information contained in the received certificate and greeting is consistent and appropriate. As described above, both checks typically require an out-of-band exchange of information between client and server to identify expected values before in-band connections are attempted.

EPPセッションを確立しようとする前にクライアントがサーバーを適切に識別しない場合、資格情報の妥協のリスクがあります。ログイン資格情報をサーバーに送信する前に、クライアントは、TLSハンドシェイクで受信したサーバー証明書がサーバーの予想される証明書であることを確認する必要があります。また、クライアントは、サーバーから受け取った挨拶に予想される識別情報が含まれていることを確認する必要があります。TLSセッションを確立し、保護されたTCP接続でEPPの挨拶を受信した後、クライアントは証明書の件名および/またはsumberaltnameを予想されるサーバー識別情報と比較し、不一致が検出された場合は処理を中止する必要があります。証明書の検証が成功した場合、クライアントは、受け取った証明書と挨拶に含まれる情報が一貫して適切であることを確認する必要があります。上記のように、両方のチェックは通常、インバンド接続が試行される前に、クライアントとサーバーの間の情報交換をクライアントとサーバー間の情報交換を必要とします。

EPP TCP servers are vulnerable to common TCP denial-of-service attacks including TCP SYN flooding. Servers SHOULD take steps to minimize the impact of a denial-of-service attack using combinations of easily implemented solutions, such as deployment of firewall technology and border router filters to restrict inbound server access to known, trusted clients.

EPP TCPサーバーは、TCP Syn洪水を含む一般的なTCP拒否攻撃に対して脆弱です。サーバーは、ファイアウォールテクノロジーの展開や既知の信頼できるクライアントへのインバウンドサーバーアクセスを制限するなど、簡単に実装されたソリューションの組み合わせを使用して、サービス拒否攻撃の影響を最小限に抑えるための措置を講じる必要があります。

9. TLS Usage Profile
9. TLS使用プロファイル

The client should initiate a connection to the server and then send the TLS Client Hello to begin the TLS handshake. When the TLS handshake has finished, the client can then send the first EPP message.

クライアントは、サーバーへの接続を開始し、TLSクライアントをhelloに送信してTLSハンドシェイクを開始する必要があります。TLSの握手が終了したら、クライアントは最初のEPPメッセージを送信できます。

TLS implementations are REQUIRED to support the mandatory cipher suite specified in the implemented version:

実装されたバージョンで指定された必須の暗号スイートをサポートするには、TLS実装が必要です。

o TLS 1.0 [RFC2246]: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

o TLS 1.0 [RFC2246]:TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

o TLS 1.1 [RFC4346]: TLS_RSA_WITH_3DES_EDE_CBC_SHA

o TLS 1.1 [RFC4346]:TLS_RSA_WITH_3DES_EDE_CBC_SHA

o TLS 1.2 [RFC5246]: TLS_RSA_WITH_AES_128_CBC_SHA

o TLS 1.2 [RFC5246]:TLS_RSA_WITH_AES_128_CBC_SHA

This document is assumed to apply to future versions of TLS, in which case the mandatory cipher suite for the implemented version MUST be supported.

このドキュメントは、TLSの将来のバージョンに適用されると想定されています。この場合、実装されたバージョンの必須の暗号スイートをサポートする必要があります。

Mutual client and server authentication using the TLS Handshake Protocol is REQUIRED. Signatures on the complete certification path for both client machine and server machine MUST be validated as part of the TLS handshake. Information included in the client and server certificates, such as validity periods and machine names, MUST also be validated. A complete description of the issues associated with certification path validation can be found in RFC 5280 [RFC5280]. EPP service MUST NOT be granted until successful completion of a TLS handshake and certificate validation, ensuring that both the client machine and the server machine have been authenticated and cryptographic protections are in place.

TLSハンドシェイクプロトコルを使用した相互クライアントおよびサーバー認証が必要です。クライアントマシンとサーバーマシンの両方の完全な認証パスの署名は、TLSハンドシェイクの一部として検証する必要があります。有効期間やマシン名など、クライアントおよびサーバーの証明書に含まれる情報も検証する必要があります。認証パス検証に関連する問題の完全な説明は、RFC 5280 [RFC5280]に記載されています。EPPサービスは、TLSハンドシェイクと証明書の検証を正常に完了するまで許可されてはなりません。クライアントマシンとサーバーマシンの両方が認証され、暗号化保護が整っていることを確認してください。

If the client has external information as to the expected identity of the server, the server name check MAY be omitted. For instance, a client may be connecting to a machine whose address and server name are dynamic, but the client knows the certificate that the server will present. In such cases, it is important to narrow the scope of acceptable certificates as much as possible in order to prevent man-in-the-middle attacks. In special cases, it might be appropriate for the client to simply ignore the server's identity, but it needs to be understood that this leaves the connection open to active attack.

クライアントがサーバーの予想されるIDに関する外部情報を持っている場合、サーバー名のチェックは省略される場合があります。たとえば、クライアントはアドレスとサーバー名が動的であるマシンに接続している場合がありますが、クライアントはサーバーが提示する証明書を知っています。そのような場合、中間の攻撃を防ぐために、許容可能な証明書の範囲を可能な限り狭めることが重要です。特別な場合、クライアントがサーバーのIDを単純に無視することは適切かもしれませんが、これにより接続がアクティブな攻撃に開かれたままになることを理解する必要があります。

During the TLS negotiation, the EPP client MUST check its understanding of the server name / IP address against the server's identity as presented in the server Certificate message in order to prevent man-in-the-middle attacks. In this section, the client's understanding of the server's identity is called the "reference identity". Checking is performed according to the following rules in the specified order:

TLSの交渉中、EPPクライアントは、中間の攻撃を防ぐために、サーバー証明書メッセージに表示されているように、サーバーのアイデンティティに対してサーバー名 / IPアドレスの理解を確認する必要があります。このセクションでは、サーバーのアイデンティティに対するクライアントの理解は「参照ID」と呼ばれます。チェックは、指定された順序で次のルールに従って実行されます。

o If the reference identity is a server name:

o 参照IDがサーバー名の場合:

* If a subjectAltName extension of the dNSName [CCITT.X509.1988] type is present in the server's certificate, then it SHOULD be used as the source of the server's identity. Matching is performed as described in Section 7.2 of [RFC5280], with the exception that wildcard matching (see below) is allowed for dNSName type. If the certificate contains multiple names (e.g., more than one dNSName field), then a match with any one of the fields is considered acceptable.

* DNSNAME [ccitt.x509.1988]タイプのsubmictaltname拡張機能がサーバーの証明書に存在する場合、サーバーのIDのソースとして使用する必要があります。[RFC5280]のセクション7.2で説明されているようにマッチングは実行されます。証明書に複数の名前(たとえば、複数のDNSNAMEフィールドなど)が含まれている場合、フィールドのいずれかと一致すると、受け入れられると見なされます。

* The '*' (ASCII 42) wildcard character is allowed in subjectAltName values of type dNSName, and then only as the left-most (least significant) DNS label in that value. This wildcard matches any left-most DNS label in the server name. That is, the subject *.example.com matches the server names a.example.com and b.example.com, but does not match example.com or a.b.example.com.

* '*'(ASCII 42)ワイルドカード文字は、タイプDNSNameのsubjectaltname値で許可され、次にその値の左端(最小重要な)DNSラベルとしてのみ許可されます。このワイルドカードは、サーバー名の左端のDNSラベルと一致します。つまり、件名 *.example.comはサーバー名A.example.comおよびB.Example.comと一致しますが、example.comまたはA.B.example.comと一致しません。

* The server's identity MAY also be verified by comparing the reference identity to the Common Name (CN) [RFC4519] value in the leaf Relative Distinguished Name (RDN) of the subjectName field of the server's certificate. This comparison is performed using the rules for comparison of DNS names in bullet 1 above (including wildcard matching). Although the use of the Common Name value is existing practice, it is deprecated, and Certification Authorities are encouraged to provide subjectAltName values instead. Note that the TLS implementation may represent DNs in certificates according to X.500 or other conventions. For example, some X.500 implementations order the RDNs in a DN using a left-to-right (most significant to least significant) convention instead of LDAP's right-to-left convention.

* サーバーのIDは、サーバーの証明書の主題フィールドの葉の相対識別名(RDN)の共通名(CN)[RFC4519]値と参照ID [RFC4519]値を比較することにより、検証することもできます。この比較は、上記の弾丸1のDNS名を比較するためのルールを使用して実行されます(ワイルドカードマッチングを含む)。一般名値の使用は既存の慣行ですが、それは非推奨であり、認定当局は代わりにsubjectaltname値を提供することを奨励されています。TLS実装は、X.500またはその他の規則に従って証明書のDNSを表す場合があることに注意してください。たとえば、一部のX.500実装は、LDAPの左から左右の条約ではなく、左から右(最も重要なものから最も重要な)条約を使用してDNでRDNを注文します。

o If the reference identity is an IP address:

o 参照IDがIPアドレスである場合:

* The iPAddress subjectAltName SHOULD be used by the client for comparison. In such a case, the reference identity MUST be converted to the "network byte order" octet string representation. For IP Version 4 (as specified in RFC 791 [RFC0791]), the octet string will contain exactly four octets. For IP Version 6 (as specified in RFC 2460 [RFC2460]), the octet string will contain exactly sixteen octets. This octet string is then compared against subjectAltName values of type iPAddress. A match occurs if the reference identity octet string and value octet strings are identical.

* iPaddress subjectaltnameは、比較のためにクライアントが使用する必要があります。そのような場合、参照IDは「ネットワークバイト順」オクテット文字列表現に変換する必要があります。IPバージョン4(RFC 791 [RFC0791]で指定)の場合、オクテット文字列には正確に4オクテットが含まれます。IPバージョン6(RFC 2460 [RFC2460]で指定)の場合、オクテット文字列には正確に16のオクテットが含まれます。次に、このOctet文字列は、iPaddressのタイプのsumbutaltname値と比較されます。参照IDオクテット文字列と値のオクテット文字列が同一である場合、一致が発生します。

If the server identity check fails, user-oriented clients SHOULD either notify the user (clients MAY give the user the opportunity to continue with the EPP session in this case) or close the transport connection and indicate that the server's identity is suspect. Automated clients SHOULD return or log an error indicating that the server's identity is suspect and/or SHOULD close the transport connection. Automated clients MAY provide a configuration setting that disables this check, but MUST provide a setting which enables it.

サーバーIDのチェックが失敗した場合、ユーザー指向のクライアントはユーザー(クライアントにユーザーがこの場合にEPPセッションを継続する機会を与えることができます)またはトランスポート接続を閉じて、サーバーのIDが疑わしいことを示します。自動化されたクライアントは、サーバーのIDが疑わしい、または輸送接続を閉じる必要があることを示すエラーを返したりログにしたりする必要があります。自動化されたクライアントは、このチェックを無効にする構成設定を提供する場合がありますが、それを有効にする設定を提供する必要があります。

During the TLS negotiation, the EPP server MUST verify that the client certificate matches the reference identity previously negotiated out of band, as specified in Section 8. The server should match the entire subject name or the subjectAltName as described in RFC 5280. The server MAY enforce other restrictions on the subjectAltName, for example if it knows that a particular client is always connecting from a particular hostname / IP address.

TLS交渉中、EPPサーバーは、セクション8で指定されたように、クライアント証明書が以前にネゴシエートした参照IDと一致することを確認する必要があります。たとえば、特定のクライアントが常に特定のホスト名 / IPアドレスから接続していることがわかっている場合、SubjectAltnameの他の制限を実施します。

All EPP messages MUST be sent as TLS "application data". It is possible that multiple EPP messages are contained in one TLS record, or that an EPP message is transferred in multiple TLS records.

すべてのEPPメッセージは、TLS「アプリケーションデータ」として送信する必要があります。複数のEPPメッセージが1つのTLSレコードに含まれているか、EPPメッセージが複数のTLSレコードで転送される可能性があります。

When no data is received from a connection for a long time (where the application decides what "long" means), a server MAY close the connection. The server MUST attempt to initiate an exchange of close_notify alerts with the client before closing the connection. Servers that are unprepared to receive any more data MAY close the connection after sending the close_notify alert, thus generating an incomplete close on the client side.

接続から長い間データが受信されない場合(アプリケーションが「長い」意味を決定する場合)、サーバーは接続を閉じることができます。サーバーは、接続を閉じる前にクライアントとclose_notifyアラートの交換を開始しようとする必要があります。これ以上のデータを受信する準備ができていないサーバーは、close_notifyアラートを送信した後、接続を閉じる可能性があり、クライアント側に不完全なクローズを生成する場合があります。

10. Acknowledgements
10. 謝辞

RFC 3734 is a product of the PROVREG working group, which suggested improvements and provided many invaluable comments. The author wishes to acknowledge the efforts of WG chairs Edward Lewis and Jaap Akkerhuis for their process and editorial contributions. RFC 4934 and this document are individual submissions, based on the work done in RFC 3734.

RFC 3734はProvregワーキンググループの製品であり、改善を提案し、多くの非常に貴重なコメントを提供しました。著者は、WGチェアのエドワード・ルイスとJaap Akkerhuisのプロセスと編集上の貢献の努力を認めたいと考えています。RFC 4934およびこのドキュメントは、RFC 3734で行われた作業に基づいた個別の提出物です。

Specific suggestions that have been incorporated into this document were provided by Chris Bason, Randy Bush, Patrik Faltstrom, Ned Freed, James Gould, Dan Manley, and John Immordino.

この文書に組み込まれた具体的な提案は、クリス・バソン、ランディ・ブッシュ、パトリック・ファルトストローム、ネッド・フリード、ジェームズ・グールド、ダン・マンリー、ジョン・イモルディーノによって提供されました。

11. References
11. 参考文献
11.1. Normative References
11.1. 引用文献

[CCITT.X509.1988] International Telephone and Telegraph Consultative Committee, "Information Technology - Open Systems Interconnection - The Directory: Authentication Framework", CCITT Recommendation X.509, November 1988.

[CCITT.X509.1988]国際電話および電信協議委員会、「情報技術 - オープンシステムの相互接続 - ディレクトリ:認証フレームワーク」、CCITT推奨X.509、1988年11月。

[RFC0791] Postel, J., "Internet Protocol", STD 5, RFC 791, September 1981.

[RFC0791] Postel、J。、「インターネットプロトコル」、STD 5、RFC 791、1981年9月。

[RFC0793] Postel, J., "Transmission Control Protocol", STD 7, RFC 793, September 1981.

[RFC0793] Postel、J。、「トランスミッションコントロールプロトコル」、STD 7、RFC 793、1981年9月。

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC2246] Dierks, T. and C. Allen, "The TLS Protocol Version 1.0", RFC 2246, January 1999.

[RFC2246] Dierks、T。およびC. Allen、「TLSプロトコルバージョン1.0」、RFC 2246、1999年1月。

[RFC2460] Deering, S. and R. Hinden, "Internet Protocol, Version 6 (IPv6) Specification", RFC 2460, December 1998.

[RFC2460] Deering、S。およびR. Hinden、「Internet Protocol、Version 6(IPv6)仕様」、RFC 2460、1998年12月。

[RFC4519] Sciberras, A., "Lightweight Directory Access Protocol (LDAP): Schema for User Applications", RFC 4519, June 2006.

[RFC4519] Sciberras、A。、「Lightweight Directory Access Protocol(LDAP):ユーザーアプリケーションのスキーマ」、RFC 4519、2006年6月。

[RFC5730] Hollenbeck, S., "Extensible Provisioning Protocol (EPP)", STD 69, RFC 5730, August 2009.

[RFC5730] Hollenbeck、S。、「拡張可能なプロビジョニングプロトコル(EPP)」、STD 69、RFC 5730、2009年8月。

11.2. Informative References
11.2. 参考引用

[RFC2581] Allman, M., Paxson, V., and W. Stevens, "TCP Congestion Control", RFC 2581, April 1999.

[RFC2581] Allman、M.、Paxson、V。、およびW. Stevens、「TCP輻輳制御」、RFC 2581、1999年4月。

[RFC2914] Floyd, S., "Congestion Control Principles", BCP 41, RFC 2914, September 2000.

[RFC2914]フロイド、S。、「混雑制御原則」、BCP 41、RFC 2914、2000年9月。

[RFC4346] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.1", RFC 4346, April 2006.

[RFC4346] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)プロトコルバージョン1.1」、RFC 4346、2006年4月。

[RFC4934] Hollenbeck, S., "Extensible Provisioning Protocol (EPP) Transport Over TCP", RFC 4934, May 2007.

[RFC4934] Hollenbeck、S。、「拡張可能なプロビジョニングプロトコル(EPP)TCP経由の輸送」、RFC 4934、2007年5月。

[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.

[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)プロトコルバージョン1.2」、RFC 5246、2008年8月。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R.、およびW. Polk、 "Internet X.509公開キーインフラストラクチャ証明書および証明書失効リスト(CRL)プロファイル"、RFC 5280、2008年5月。

Appendix A. Changes from RFC 4934
付録A. RFC 4934からの変更

1. Changed "This document obsoletes RFC 3734" to "This document obsoletes RFC 4934".

1. 「このドキュメントが廃止されたRFC 3734」を「このドキュメントが廃止されたRFC 4934」に変更しました。

2. Replaced references to RFC 3280 with references to 5280.

2. RFC 3280への参照を5280への参照に置き換えました。

3. Replaced references to RFC 3734 with references to 4934.

3. RFC 3734への参照を4934への参照に置き換えました。

4. Updated references to RFC 4346 and TLS 1.1 with references to 5246 and TLS 1.2.

4. 5246およびTLS 1.2への参照を備えたRFC 4346およびTLS 1.1への参照を更新しました。

5. Replaced references to RFC 4930 with references to 5730.

5. RFC 4930への参照を5730への参照に置き換えました。

6. Added clarifying TLS Usage Profile section and included references.

6. Quarifing TLS使用量プロファイルセクションを追加し、参照を含めました。

7. Moved the paragraph that begins with "Mutual client and server authentication" from the Security Considerations section to the TLS Usage Profile section.

7. 「相互クライアントとサーバー認証」から始まる段落を、セキュリティに関する考慮事項からTLS使用プロファイルセクションに移動しました。

Author's Address

著者の連絡先

Scott Hollenbeck VeriSign, Inc. 21345 Ridgetop Circle Dulles, VA 20166-6503 US

Scott Hollenbeck Verisign、Inc。21345 Ridgetop Circle Dulles、VA 20166-6503 US

   EMail: shollenbeck@verisign.com