[要約] RFC 7481は、RDAP(Registration Data Access Protocol)のセキュリティサービスに関する規格です。このRFCの目的は、RDAPのセキュリティを向上させ、登録データのアクセスと検索に関する情報の保護を提供することです。
Internet Engineering Task Force (IETF) S. Hollenbeck
Request for Comments: 7481 Verisign Labs
Category: Standards Track N. Kong
ISSN: 2070-1721 CNNIC
March 2015
Security Services for the Registration Data Access Protocol (RDAP)
登録データアクセスプロトコル(RDAP)のセキュリティサービス
Abstract
概要
The Registration Data Access Protocol (RDAP) provides "RESTful" web services to retrieve registration metadata from Domain Name and Regional Internet Registries. This document describes information security services, including access control, authentication, authorization, availability, data confidentiality, and data integrity for RDAP.
Registration Data Access Protocol(RDAP)は、ドメイン名と地域のインターネットレジストリから登録メタデータを取得するための「RESTful」Webサービスを提供します。このドキュメントでは、RDAPのアクセス制御、認証、承認、可用性、データの機密性、データの整合性などの情報セキュリティサービスについて説明します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7481.
このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7481で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2015 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2015 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Conventions Used in This Document . . . . . . . . . . . . . . 2
2.1. Acronyms and Abbreviations . . . . . . . . . . . . . . . 3
3. Information Security Services and RDAP . . . . . . . . . . . 3
3.1. Access Control . . . . . . . . . . . . . . . . . . . . . 3
3.2. Authentication . . . . . . . . . . . . . . . . . . . . . 3
3.2.1. Federated Authentication . . . . . . . . . . . . . . 4
3.3. Authorization . . . . . . . . . . . . . . . . . . . . . . 6
3.4. Availability . . . . . . . . . . . . . . . . . . . . . . 6
3.5. Data Confidentiality . . . . . . . . . . . . . . . . . . 7
3.6. Data Integrity . . . . . . . . . . . . . . . . . . . . . 7
4. Privacy Threats Associated with Registration Data . . . . . . 8
5. Security Considerations . . . . . . . . . . . . . . . . . . . 9
6. References . . . . . . . . . . . . . . . . . . . . . . . . . 10
6.1. Normative References . . . . . . . . . . . . . . . . . . 10
6.2. Informative References . . . . . . . . . . . . . . . . . 11
Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . 13
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 13
The Registration Data Access Protocol (RDAP) is specified in multiple documents, including "Registration Data Access Protocol (RDAP) Query Format" [RFC7482], "JSON Responses for the Registration Data Access Protocol (RDAP)" [RFC7483], and "HTTP Usage in the Registration Data Access Protocol (RDAP)" [RFC7480].
Registration Data Access Protocol(RDAP)は、「Registration Data Access Protocol(RDAP)Query Format」[RFC7482]、「JSON Responses for the Registration Data Access Protocol(RDAP)」[RFC7483]、「HTTP Registration Data Access Protocol(RDAP)での使用」[RFC7480]。
One goal of RDAP is to provide security services that do not exist in the WHOIS [RFC3912] protocol, including access control, authentication, authorization, availability, data confidentiality, and data integrity. This document describes how each of these services is achieved by RDAP using features that are available in other protocol layers. Additional or alternative mechanisms can be added in the future. Where applicable, informative references to requirements for a WHOIS replacement service [RFC3707] are noted.
RDAPの1つの目標は、アクセス制御、認証、承認、可用性、データの機密性、データの整合性など、WHOIS [RFC3912]プロトコルには存在しないセキュリティサービスを提供することです。このドキュメントでは、これらの各サービスが、他のプロトコルレイヤーで利用可能な機能を使用してRDAPによってどのように実現されるかについて説明します。追加または代替メカニズムを将来追加することができます。該当する場合は、WHOIS交換サービス[RFC3707]の要件への参考情報が記載されています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
DNR: Domain Name Registry
DNR:ドメイン名レジストリ
HTTP: Hypertext Transfer Protocol
HTTP:ハイパーテキスト転送プロトコル
JSON: JavaScript Object Notation
JSON:JavaScriptオブジェクト表記
RDAP: Registration Data Access Protocol
RDAP:Registration Data Access Protocol
RIR: Regional Internet Registry
RIR:地域インターネットレジストリ
TLS: Transport Layer Security
TLS:トランスポート層セキュリティ
RDAP itself does not include native security services. Instead, RDAP relies on features that are available in other protocol layers to provide needed security services, including access control, authentication, authorization, availability, data confidentiality, and data integrity. A description of each of these security services can be found in "Internet Security Glossary, Version 2" [RFC4949]. No requirements have been identified for other security services.
RDAP自体には、ネイティブセキュリティサービスは含まれていません。代わりに、RDAPは他のプロトコルレイヤーで利用可能な機能に依存して、アクセス制御、認証、承認、可用性、データの機密性、データの整合性などの必要なセキュリティサービスを提供します。これらの各セキュリティサービスの説明は、「インターネットセキュリティ用語集、バージョン2」[RFC4949]にあります。他のセキュリティサービスの要件は確認されていません。
WHOIS does not include specific features to control access to registration information. As described in the following sections, RDAP includes features to identify, authenticate, and authorize clients, allowing server operators to control access to information based on a client's identity and associated authorizations. Information returned to a client can be clearly marked with a status value (see Section 10.2.2 of [RFC7483]) that identifies the access granted to the client.
WHOISには、登録情報へのアクセスを制御する特定の機能は含まれていません。次のセクションで説明するように、RDAPにはクライアントを識別、認証、および承認する機能が含まれているため、サーバーオペレーターはクライアントのIDおよび関連する承認に基づいて情報へのアクセスを制御できます。クライアントに返される情報は、クライアントに許可されたアクセスを識別するステータス値([RFC7483]のセクション10.2.2を参照)で明確にマークできます。
This section describes security authentication mechanisms and the need for authorization policies to include them. It describes requirements for the implementations of clients and servers but does not dictate the policies of server operators. For example, a server operator with no policy regarding differentiated or tiered access to data will have no authorization mechanisms and will have no need for any type of authentication. A server operator with policies on differentiated access will have to construct an authorization scheme and will need to follow the specified authentication requirements.
このセクションでは、セキュリティ認証メカニズムと、それらを含めるための承認ポリシーの必要性について説明します。クライアントとサーバーの実装の要件について説明しますが、サーバーオペレーターのポリシーは示しません。たとえば、データへの差別化されたアクセスまたは階層化されたアクセスに関するポリシーを持たないサーバーオペレーターには、承認メカニズムがなく、いかなる種類の認証も必要ありません。差別化されたアクセスに関するポリシーを持つサーバーオペレーターは、承認スキームを構築する必要があり、指定された認証要件に従う必要があります。
WHOIS does not provide features to identify and authenticate clients. As noted in Section 3.1.4.2 of "Cross Registry Internet Service Protocol (CRISP) Requirements" [RFC3707], there is utility in allowing server operators to offer "varying degrees of access depending on policy and need." Clients have to be identified and authenticated to provide that utility.
WHOISは、クライアントを識別および認証する機能を提供していません。 「クロスレジストリインターネットサービスプロトコル(CRISP)要件」[RFC3707]のセクション3.1.4.2で述べたように、サーバーオペレータが「ポリシーとニーズに応じてさまざまな程度のアクセス」を提供できるようにするユーティリティがあります。そのユーティリティを提供するには、クライアントを識別および認証する必要があります。
RDAP's authentication framework needs to accommodate anonymous access as well as verification of identities using a range of authentication methods and credential services. To that end, RDAP clients and servers MUST implement the authentication framework specified in "Hypertext Transfer Protocol (HTTP/1.1): Authentication" [RFC7235]. The "basic" scheme can be used to send a client's user name and password to a server in plaintext, base64-encoded form. The "digest" scheme can be used to authenticate a client without exposing the client's plaintext password. If the "basic" scheme is used, HTTP over TLS [RFC2818] MUST be used to protect the client's credentials from disclosure while in transit (see Section 3.5).
RDAPの認証フレームワークは、匿名アクセスと、さまざまな認証方法と資格情報サービスを使用したIDの検証に対応する必要があります。そのために、RDAPクライアントとサーバーは、「ハイパーテキスト転送プロトコル(HTTP / 1.1):認証」[RFC7235]で指定された認証フレームワークを実装する必要があります。 「基本」スキームを使用して、クライアントのユーザー名とパスワードを平文のbase64エンコード形式でサーバーに送信できます。 「ダイジェスト」スキームを使用すると、クライアントの平文パスワードを公開せずにクライアントを認証できます。 「基本」方式を使用する場合、HTTP over TLS [RFC2818]を使用して、送信中のクライアントの資格情報が漏洩しないように保護する必要があります(セクション3.5を参照)。
Servers MUST support either Basic or Digest authentication; they are not required to support both. Clients MUST support both to interoperate with servers that support one or the other. Servers may provide a login page that triggers HTTP authentication. Clients should continue sending the HTTP authentication header once they receive an initial 401 (Unauthorized) response from the HTTP server as long as the scheme portion of the URL doesn't change.
サーバーは、基本認証またはダイジェスト認証のいずれかをサポートする必要があります。両方をサポートする必要はありません。クライアントは、どちらか一方をサポートするサーバーと相互運用するために両方をサポートする必要があります。サーバーは、HTTP認証をトリガーするログインページを提供する場合があります。クライアントは、URLのスキーマ部分が変更されない限り、HTTPサーバーから最初の401(無許可)応答を受信したら、HTTP認証ヘッダーを送信し続ける必要があります。
The Transport Layer Security protocol [RFC5246] includes an optional feature to identify and authenticate clients who possess and present a valid X.509 digital certificate [RFC5280]. Support for this feature is OPTIONAL.
トランスポート層セキュリティプロトコル[RFC5246]には、有効なX.509デジタル証明書[RFC5280]を所有および提示するクライアントを識別および認証するオプション機能が含まれています。この機能のサポートはオプションです。
RDAP does not impose any unique server authentication requirements. The server authentication provided by TLS fully addresses the needs of RDAP. In general, transports for RDAP must either provide a TLS-protected transport (e.g., HTTPS) or a mechanism that provides an equivalent level of server authentication.
RDAPは、固有のサーバー認証要件を課しません。 TLSによって提供されるサーバー認証は、RDAPのニーズに完全に対応します。一般に、RDAPのトランスポートは、TLSで保護されたトランスポート(HTTPSなど)または同等レベルのサーバー認証を提供するメカニズムを提供する必要があります。
Work on HTTP authentication methods continues. RDAP is designed to be agile enough to support additional methods as they are defined.
HTTP認証方法の作業は続行されます。 RDAPは、追加のメソッドが定義されているときにそれらをサポートするのに十分な俊敏性を持つように設計されています。
The traditional client-server authentication model requires clients to maintain distinct credentials for every RDAP server. This situation can become unwieldy as the number of RDAP servers increases. Federated authentication mechanisms allow clients to use one credential to access multiple RDAP servers and reduce client credential management complexity. RDAP MAY include a federated authentication mechanism that permits a client to access multiple RDAP servers in the same federation with one credential.
従来のクライアントサーバー認証モデルでは、クライアントはすべてのRDAPサーバーの個別の資格情報を維持する必要があります。 RDAPサーバーの数が増えると、この状況は扱いにくくなる可能性があります。フェデレーション認証メカニズムにより、クライアントは1つの資格情報を使用して複数のRDAPサーバーにアクセスし、クライアント資格情報管理の複雑さを軽減できます。 RDAPには、クライアントが1つの資格情報を使用して同じフェデレーション内の複数のRDAPサーバーにアクセスできるようにするフェデレーション認証メカニズムが含まれる場合があります。
Federated authentication mechanisms used by RDAP MUST be fully supported by HTTP. OAuth, OpenID, Security Assertion Markup Language (SAML), and mechanisms based on Certification Authority (CA) are all possible approaches to provide federated authentication. At the time of this document's publication, negotiation or advertisement of federated authentication services is still an undefined mechanism by the noted federated authentication protocols. Developing this mechanism is beyond the scope of this document.
RDAPで使用されるフェデレーション認証メカニズムは、HTTPで完全にサポートされている必要があります。 OAuth、OpenID、セキュリティアサーションマークアップ言語(SAML)、および証明機関(CA)に基づくメカニズムはすべて、フェデレーション認証を提供するための可能なアプローチです。このドキュメントの公開時点では、フェデレーション認証サービスのネゴシエーションまたはアドバタイズは、前述のフェデレーション認証プロトコルによる未定義のメカニズムです。このメカニズムの開発は、このドキュメントの範囲を超えています。
The OAuth authorization framework [RFC6749] describes a method for users to access protected web resources without having to hand out their credentials. Instead, clients are issued access tokens by authorization servers with the permission of the resource owners. Using OAuth, multiple RDAP servers can form a federation, and the clients can access any server in the same federation by providing one credential registered in any server in that federation. The OAuth authorization framework is designed for use with HTTP and thus can be used with RDAP.
OAuth承認フレームワーク[RFC6749]は、ユーザーが資格情報を渡さなくても保護されたWebリソースにアクセスできる方法を説明しています。代わりに、クライアントはリソース所有者の許可を得て許可サーバーによってアクセストークンを発行されます。 OAuthを使用すると、複数のRDAPサーバーが1つのフェデレーションを形成でき、クライアントは、そのフェデレーション内の任意のサーバーに登録されている1つの資格情報を提供することにより、同じフェデレーション内の任意のサーバーにアクセスできます。 OAuth認証フレームワークはHTTPで使用するように設計されているため、RDAPで使用できます。
OpenID [OpenID] is a decentralized single sign-on authentication system that allows users to log in at multiple web sites with one ID instead of having to create multiple unique accounts. An end user can freely choose which OpenID provider to use and can preserve their Identifier if they switch OpenID providers.
OpenID [OpenID]は、ユーザーが複数の一意のアカウントを作成する代わりに、1つのIDで複数のWebサイトにログインできるようにする分散型シングルサインオン認証システムです。エンドユーザーは、使用するOpenIDプロバイダーを自由に選択でき、OpenIDプロバイダーを切り替えた場合でも識別子を保持できます。
Note that OAuth and OpenID do not consistently require data confidentiality services to protect interactions between providers and consumers. HTTP over TLS [RFC2818] can be used as needed to provide protection against man-in-the-middle attacks.
OAuthとOpenIDは、プロバイダーとコンシューマー間の相互作用を保護するためにデータ機密性サービスを常に必要としないことに注意してください。 HTTP over TLS [RFC2818]を必要に応じて使用して、中間者攻撃に対する保護を提供できます。
SAML 2.0 [SAML] is an XML-based protocol that can be used to implement web-based authentication and authorization services, including single sign on. It uses security tokens containing assertions to exchange information about an end user between an identity provider and a service provider.
SAML 2.0 [SAML]は、シングルサインオンを含むWebベースの認証および承認サービスの実装に使用できるXMLベースのプロトコルです。アサーションを含むセキュリティトークンを使用して、IDプロバイダーとサービスプロバイダーの間でエンドユーザーに関する情報を交換します。
The Transport Layer Security protocol describes the specification of a client certificate in Section 7.4.6 of [RFC5246]. Clients who possess and present a valid X.509 digital certificate, issued by a CA, could be identified and authenticated by a server who trusts the corresponding CA. A certificate authentication method can be used to achieve federated authentication in which multiple RDAP servers all trust the same CAs, and then any client with a certificate issued by a trusted CA can access any RDAP server in the federation. This certificate-based mechanism is supported by HTTPS and can be used with RDAP.
トランスポート層セキュリティプロトコルは、[RFC5246]のセクション7.4.6でクライアント証明書の仕様を説明しています。 CAによって発行された有効なX.509デジタル証明書を所有および提示するクライアントは、対応するCAを信頼するサーバーによって識別および認証されます。証明書認証方法を使用して、複数のRDAPサーバーがすべて同じCAを信頼し、信頼されたCAによって発行された証明書を持つすべてのクライアントがフェデレーション内の任意のRDAPサーバーにアクセスできるフェデレーション認証を実現できます。この証明書ベースのメカニズムはHTTPSでサポートされており、RDAPで使用できます。
WHOIS does not provide services to grant different levels of access to clients based on a client's authenticated identity. As noted in Section 3.1.4.2 of "Cross Registry Internet Service Protocol (CRISP) Requirements" [RFC3707], there is utility in allowing server operators to offer "varying degrees of access depending on policy and need." Access control decisions can be made once a client's identity has been established and authenticated (see Section 3.2).
WHOISは、クライアントの認証済みIDに基づいて、クライアントにさまざまなレベルのアクセスを許可するサービスを提供していません。 「クロスレジストリインターネットサービスプロトコル(CRISP)要件」[RFC3707]のセクション3.1.4.2で述べたように、サーバーオペレータが「ポリシーとニーズに応じてさまざまな程度のアクセス」を提供できるようにするユーティリティがあります。クライアントのIDが確立され、認証されると、アクセス制御の決定を行うことができます(セクション3.2を参照)。
Server operators MAY offer varying degrees of access depending on policy and need in conjunction with the authentication methods described in Section 3.2. If such varying degrees of access are supported, an RDAP server MUST provide granular access controls (that is, per registration data object) in order to implement authorization policies. Some examples:
サーバーオペレーターは、セクション3.2で説明されている認証方法と組み合わせて、ポリシーとニーズに応じてさまざまな程度のアクセスを提供できます。そのようなさまざまな程度のアクセスがサポートされている場合、承認ポリシーを実装するために、RDAPサーバーは詳細なアクセス制御(つまり、登録データオブジェクトごと)を提供する必要があります。いくつかの例:
- Clients will be allowed access only to data for which they have a relationship.
- クライアントは、関係のあるデータへのアクセスのみが許可されます。
- Unauthenticated or anonymous access status may not yield any contact information.
- 認証されていない、または匿名のアクセスステータスでは、連絡先情報が提供されない場合があります。
- Full access may be granted to a special group of authenticated clients.
- 認証されたクライアントの特別なグループにフルアクセスを許可できます。
The type of access allowed by a server will most likely vary from one operator to the next. A description of the response privacy considerations associated with different levels of authorization can be found in Section 13 of [RFC7483].
サーバーによって許可されるアクセスのタイプは、ほとんどの場合、オペレーターごとに異なります。さまざまなレベルの承認に関連するプライバシーの考慮事項については、[RFC7483]のセクション13で説明されています。
An RDAP service has to be available to be useful. There are no RDAP-unique requirements to provide availability, but as a general security consideration, a service operator needs to be aware of the issues associated with denial of service. A thorough reading of "Internet Denial-of-Service Considerations" [RFC4732] is advised.
RDAPサービスは、有用であるために利用可能である必要があります。可用性を提供するためのRDAP固有の要件はありませんが、一般的なセキュリティの考慮事項として、サービスオペレーターはサービス拒否に関連する問題を認識する必要があります。 「インターネットのサービス拒否に関する考慮事項」[RFC4732]を完全に読むことをお勧めします。
An RDAP service MAY use an HTTP throttling mechanism to limit the number of queries that a single client can send in a given period of time. If used, the server SHOULD return an HTTP 429 (Too Many Requests) response code as described in "Additional HTTP Status Codes" [RFC6585]. A client that receives a 429 response SHOULD decrease its query rate and honor the Retry-After header field if one is present. Note that this is not a defense against denial-of-service attacks, since a malicious client could ignore the code and continue to send queries at a high rate. A server might use another response code if it did not wish to reveal to a client that rate limiting is the reason for the denial of a reply.
RDAPサービスは、HTTPスロットリングメカニズムを使用して、単一のクライアントが一定期間に送信できるクエリの数を制限する場合があります。使用する場合、サーバーは「追加のHTTPステータスコード」[RFC6585]で説明されているように、HTTP 429(Too Many Requests)応答コードを返す必要があります(SHOULD)。 429応答を受信するクライアントは、クエリレートを下げ、Retry-Afterヘッダーフィールドが存在する場合はそれを尊重する必要があります(SHOULD)。悪意のあるクライアントがコードを無視して、クエリを高速で送信し続ける可能性があるため、これはサービス拒否攻撃に対する防御ではないことに注意してください。レート制限が応答拒否の理由であることをクライアントに明らかにしたくない場合、サーバーは別の応答コードを使用する場合があります。
WHOIS does not provide the ability to protect data from inadvertent disclosure while in transit. RDAP uses HTTP over TLS [RFC2818] to provide that protection by encrypting all traffic sent on the connection between client and server. HTTP over TLS MUST be used to protect all client-server exchanges unless operational constraints make it impossible to meet this requirement. It is also possible to encrypt discrete objects (such as command path segments and JSON-encoded response objects) at one endpoint, send them to the other endpoint via an unprotected transport protocol, and decrypt the object on receipt. Encryption algorithms as described in "Internet Security Glossary, Version 2" [RFC4949] are commonly used to provide data confidentiality at the object level.
WHOISは、転送中の不注意な開示からデータを保護する機能を提供しません。 RDAPはHTTP over TLS [RFC2818]を使用して、クライアントとサーバー間の接続で送信されるすべてのトラフィックを暗号化することにより、保護を提供します。運用上の制約によりこの要件を満たすことが不可能でない限り、HTTP over TLSを使用してすべてのクライアント/サーバー交換を保護する必要があります。また、1つのエンドポイントで個別のオブジェクト(コマンドパスセグメントやJSONエンコードされた応答オブジェクトなど)を暗号化し、保護されていないトランスポートプロトコルを介して他のエンドポイントに送信し、受信時にオブジェクトを復号化することもできます。 「インターネットセキュリティ用語集、バージョン2」[RFC4949]で説明されている暗号化アルゴリズムは、オブジェクトレベルでデータの機密性を提供するために一般的に使用されます。
There are no current requirements for object-level data confidentiality using encryption. Support for this feature could be added to RDAP in the future.
暗号化を使用したオブジェクトレベルのデータ機密性に関する現在の要件はありません。この機能のサポートは、将来RDAPに追加される可能性があります。
As noted in Section 3.2, the HTTP "basic" authentication scheme can be used to authenticate a client. When this scheme is used, HTTP over TLS MUST be used to protect the client's credentials from disclosure while in transit. If the policy of the server operator requires encryption to protect client-server data exchanges (such as to protect non-public data that cannot be accessed without client identification and authentication), HTTP over TLS MUST be used to protect those exchanges.
セクション3.2で述べたように、HTTPの「基本」認証スキームを使用してクライアントを認証できます。このスキームを使用する場合、HTTP over TLSを使用して、送信中のクライアントの資格情報が漏洩しないように保護する必要があります。サーバーオペレーターのポリシーが暗号化を要求してクライアントとサーバーのデータ交換を保護する場合(クライアントの識別と認証なしではアクセスできない非公開データを保護するなど)、それらの交換を保護するためにHTTP over TLSを使用する必要があります。
A description of privacy threats that can be addressed with confidentiality services can be found in Section 4. Section 10.2.2 of [RFC7483] describes status values that can be used to describe operator actions used to protect response data from disclosure to unauthorized clients.
機密性サービスで対処できるプライバシーの脅威の説明はセクション4にあります。[RFC7483]のセクション10.2.2は、無許可のクライアントへの開示から応答データを保護するために使用されるオペレーターのアクションを説明するために使用できるステータス値について説明しています。
WHOIS does not provide the ability to protect data from modification while in transit. Web services such as RDAP commonly use HTTP over TLS [RFC2818] to provide that protection by using a keyed Message Authentication Code (MAC) to detect modifications. It is also possible to sign discrete objects (such as command path segments and JSON-encoded response objects) at one endpoint, send them to the other endpoint via a transport protocol, and validate the signature of the object on receipt. Digital signature algorithms as described in "Internet Security Glossary, Version 2" [RFC4949] are commonly used to provide data integrity at the object level.
WHOISは、送信中の変更からデータを保護する機能を提供しません。 RDAPなどのWebサービスは、通常、HTTP over TLS [RFC2818]を使用して、キー付きのメッセージ認証コード(MAC)を使用して変更を検出し、保護を提供します。 1つのエンドポイントで個別のオブジェクト(コマンドパスセグメントやJSONエンコードされた応答オブジェクトなど)に署名し、トランスポートプロトコルを介して他のエンドポイントに送信し、受信時にオブジェクトの署名を検証することもできます。 「インターネットセキュリティ用語集、バージョン2」[RFC4949]で説明されているデジタル署名アルゴリズムは、オブジェクトレベルでデータの整合性を提供するために一般的に使用されます。
There are no current requirements for object-level data integrity using digital signatures. Support for this feature could be added to RDAP in the future.
現在、デジタル署名を使用したオブジェクトレベルのデータ整合性に関する要件はありません。この機能のサポートは、将来RDAPに追加される可能性があります。
The most specific need for this service is to provide assurance that HTTP 30x redirection hints [RFC7231] and response elements returned from the server are not modified while in transit. If the policy of the server operator requires message integrity for client-server data exchanges, HTTP over TLS MUST be used to protect those exchanges.
このサービスの最も具体的なニーズは、HTTP 30xリダイレクションヒント[RFC7231]およびサーバーから返された応答要素が転送中に変更されないことを保証することです。サーバーオペレーターのポリシーでクライアントサーバーデータ交換のメッセージ整合性が必要な場合は、HTTP over TLSを使用してこれらの交換を保護する必要があります。
Registration data has historically included personal data about registrants. WHOIS services have historically made this information available to the public, creating a privacy risk by revealing the personal details of registrants. WHOIS services have not had the benefit of authentication or access control mechanisms to gate access to registration data. As a result of this, proxy and privacy services have arisen to shield the identities of registrants.
登録データには、歴史的に登録者に関する個人データが含まれています。 WHOISサービスはこれまで、この情報を一般に公開しており、登録者の個人情報を公開することでプライバシーリスクを生み出しています。 WHOISサービスには、登録データへのアクセスを制御する認証またはアクセス制御メカニズムの利点がありませんでした。この結果として、登録者の身元を保護するためにプロキシサービスとプライバシーサービスが発生しました。
The standardization of RDAP does not change or impact the data that operators may require to be collected from registrants, but it provides support for a number of mechanisms that may be used to mitigate privacy threats to registrants should operators choose to use them.
RDAPの標準化は、オペレーターが登録者から収集する必要があるデータを変更したり影響を与えたりすることはありませんが、オペレーターがそれらを使用することを選択した場合に登録者へのプライバシーの脅威を軽減するために使用できるいくつかのメカニズムをサポートします。
RDAP includes mechanisms that can be used to authenticate clients, allowing servers to support tiered access based on local policy. This means that all registration data need no longer be public, and personal data or data that may be considered more sensitive can have its access restricted to specifically privileged clients.
RDAPには、クライアントの認証に使用できるメカニズムが含まれているため、サーバーはローカルポリシーに基づく階層型アクセスをサポートできます。つまり、すべての登録データを公開する必要がなくなり、個人データまたはより機密性が高いと考えられるデータのアクセスを、特定の特権を持つクライアントに制限することができます。
RDAP data structures allow servers to indicate via status values when data returned to clients has been made private, redacted, obscured, or registered by a proxy. "Private" means that the data is not designated for public consumption. "Redacted" means that some registration data fields are not being made available. "Obscured" means that data has been altered for the purposes of not readily revealing the actual registration information. One option that operators have available to them to reduce privacy risks to registrants is to adopt policies that make use of these status values to restrict the registrant data shared with any or all clients according to the sensitivity of the data, the privileges of the clients, or some other heuristics.
RDAPデータ構造を使用すると、クライアントに返されたデータが非公開にされた、編集された、隠された、またはプロキシによって登録されたときに、サーバーがステータス値を介して示すことができます。 「プライベート」とは、データが公共の消費のために指定されていないことを意味します。 「編集済み」とは、一部の登録データフィールドが使用できないことを意味します。 「不明瞭」とは、実際の登録情報を簡単に明らかにしない目的でデータが変更されていることを意味します。オペレーターが登録者へのプライバシーリスクを軽減するために利用できる1つのオプションは、これらのステータス値を利用するポリシーを採用して、データの機密性、クライアントの権限に従って、一部またはすべてのクライアントと共有する登録者データを制限することです。またはその他のヒューリスティック。
RDAP uses the jCard [RFC7095] standard format for entity representation. Operators may find that many of the jCard fields are irrelevant for registry operation purposes or that they have no reason to collect information from registrants that would correspond to certain fields. Operators wishing to reduce privacy risks for registrants may restrict which information they collect and/or which fields they populate in responses.
RDAPは、エンティティ表現にjCard [RFC7095]標準形式を使用します。オペレーターは、jCardフィールドの多くがレジストリ操作の目的には無関係である、または特定のフィールドに対応する登録者から情報を収集する理由がないことに気付く場合があります。登録者のプライバシーリスクを軽減したいオペレーターは、収集する情報や応答に入力するフィールドを制限する場合があります。
In addition to privacy risks to registrants, there are also potential privacy risks for those who query registration data. For example, the fact that a registry employee performs a particular query may reveal information about the employee's activities that he or she would have preferred to keep private. RDAP supports the use of HTTP over TLS to provide privacy protection for those querying registrant data as well as registrants, unless operational constraints make it impossible to meet this requirement.
登録者へのプライバシーリスクに加えて、登録データを照会する人には潜在的なプライバシーリスクもあります。たとえば、レジストリの従業員が特定のクエリを実行するという事実は、従業員が非公開にすることを好んだであろう従業員の活動に関する情報を明らかにする可能性があります。 RDAPはHTTP over TLSの使用をサポートしており、操作上の制約によりこの要件を満たすことが不可能でない限り、登録者だけでなく登録者データをクエリするユーザーにもプライバシー保護を提供します。
One of the goals of RDAP is to provide security services that do not exist in the WHOIS protocol. This document describes the security services provided by RDAP and associated protocol layers, including authentication, authorization, availability, data confidentiality, and data integrity. Non-repudiation services were also considered and ultimately rejected due to a lack of requirements. There are, however, currently deployed WHOIS servers that can return signed responses that provide non-repudiation with proof of origin. RDAP might need to be extended to provide this service in the future.
RDAPの目標の1つは、WHOISプロトコルには存在しないセキュリティサービスを提供することです。このドキュメントでは、認証、承認、可用性、データの機密性、データの整合性など、RDAPおよび関連するプロトコルレイヤーによって提供されるセキュリティサービスについて説明します。否認防止サービスも考慮され、要件の欠如により最終的に拒否されました。ただし、現在展開されているWHOISサーバーには、発信元の証拠を含む否認防止を提供する署名付き応答を返すことができます。将来このサービスを提供するには、RDAPを拡張する必要があるかもしれません。
As an HTTP-based protocol, RDAP is susceptible to code injection attacks. Code injection refers to adding code into a computer system or program to alter the course of execution. There are many types of code injection, including SQL injection, dynamic variable or function injection, include-file injection, shell injection, and HTML-script injection, among others. Data confidentiality and integrity services provide a measure of defense against man-in-the-middle injection attacks, but vulnerabilities in both client- and server-side software make it possible for injection attacks to succeed. Consistently checking and validating server credentials can help detect man-in-the-middle attacks.
HTTPベースのプロトコルとして、RDAPはコードインジェクション攻撃の影響を受けます。コードインジェクションとは、コードをコンピューターシステムまたはプログラムに追加して、実行の過程を変更することです。 SQLインジェクション、動的変数または関数インジェクション、インクルードファイルインジェクション、シェルインジェクション、HTMLスクリプトインジェクションなど、さまざまな種類のコードインジェクションがあります。データの機密性と整合性サービスは、中間者インジェクション攻撃に対する防御策を提供しますが、クライアント側とサーバー側の両方のソフトウェアの脆弱性により、インジェクション攻撃が成功する可能性があります。サーバーの資格情報を一貫してチェックおよび検証すると、中間者攻撃の検出に役立ちます。
As noted in Section 3.2.1, digital certificates can be used to implement federated authentication. There is a risk of too promiscuous, or even rogue, CAs being included in the list of acceptable CAs that the TLS server sends the client as part of the TLS client-authentication handshake and lending the appearance of trust to certificates signed by those CAs. Periodic monitoring of the list of CAs that RDAP servers trust for client authentication can help reduce this risk.
セクション3.2.1で述べたように、デジタル証明書を使用して連携認証を実装できます。 TLSサーバーがクライアントをTLSクライアント認証ハンドシェイクの一部としてクライアントに送信し、それらのCAによって署名された証明書に信頼の外見を貸す、許容できるCAのリストに含まれるCAが無差別または不正であるリスクがあります。 RDAPサーバーがクライアント認証のために信頼するCAのリストを定期的に監視することで、このリスクを減らすことができます。
The Transport Layer Security protocol [RFC5246] includes a null cipher suite that does not encrypt data and thus does not provide data confidentiality. This option MUST NOT be used when data confidentiality services are needed. Additional considerations for secure use of TLS are described in [SECURE-TLS-DTLS].
トランスポート層セキュリティプロトコル[RFC5246]には、データを暗号化しないため、データの機密性を提供しないnull暗号スイートが含まれています。このオプションは、データ機密性サービスが必要な場合は使用しないでください。 TLSを安全に使用するための追加の考慮事項は、[SECURE-TLS-DTLS]で説明されています。
Data integrity services are sometimes mistakenly associated with directory service operational policy requirements focused on data accuracy. "Accuracy" refers to the truthful association of data elements (such as names, addresses, and telephone numbers) in the context of a particular directory object (such as a domain name). Accuracy requirements are out of scope for this protocol.
データ整合性サービスは、データの正確性に焦点を当てたディレクトリサービスの運用ポリシー要件と誤って関連付けられることがあります。 「正確性」とは、特定のディレクトリオブジェクト(ドメイン名など)のコンテキストでのデータ要素(名前、住所、電話番号など)の真正な関連付けを指します。精度要件は、このプロトコルの範囲外です。
Additional security considerations are described in the specifications for HTTP [RFC7231], HTTP Basic and Digest access authentication [RFC7235], HTTP over TLS [RFC2818], and additional HTTP status codes [RFC6585]. Security considerations for federated authentication systems can be found in the OAuth [RFC6749] and OpenID [OpenID] specifications.
セキュリティに関するその他の考慮事項は、HTTP [RFC7231]、HTTP BasicおよびDigestアクセス認証[RFC7235]、HTTP over TLS [RFC2818]、および追加のHTTPステータスコード[RFC6585]の仕様で説明されています。統合認証システムのセキュリティに関する考慮事項は、OAuth [RFC6749]およびOpenID [OpenID]仕様に記載されています。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月、<http://www.rfc-editor.org/info/rfc2119>。
[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000, <http://www.rfc-editor.org/info/rfc2818>.
[RFC2818] Rescorla、E。、「HTTP Over TLS」、RFC 2818、2000年5月、<http://www.rfc-editor.org/info/rfc2818>。
[RFC6585] Nottingham, M. and R. Fielding, "Additional HTTP Status Codes", RFC 6585, April 2012, <http://www.rfc-editor.org/info/rfc6585>.
[RFC6585]ノッティンガム、M。およびR.フィールディング、「追加のHTTPステータスコード」、RFC 6585、2012年4月、<http://www.rfc-editor.org/info/rfc6585>。
[RFC7231] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content", RFC 7231, June 2014, <http://www.rfc-editor.org/info/rfc7231>.
[RFC7231]フィールディング、R。、エド。およびJ. Reschke編、「Hypertext Transfer Protocol(HTTP / 1.1):Semantics and Content」、RFC 7231、2014年6月、<http://www.rfc-editor.org/info/rfc7231>。
[RFC7235] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Authentication", RFC 7235, June 2014, <http://www.rfc-editor.org/info/rfc7235>.
[RFC7235]フィールディング、R。、エド。およびJ. Reschke編、「Hypertext Transfer Protocol(HTTP / 1.1):Authentication」、RFC 7235、2014年6月、<http://www.rfc-editor.org/info/rfc7235>。
[RFC7480] Newton, A., Ellacott, B., and N. Kong, "HTTP Usage in the Registration Data Access Protocol (RDAP)", RFC 7480, March 2015, <http://www.rfc-editor.org/info/rfc7480>.
[RFC7480]ニュートン、A。、エラコット、B。、およびN.コング、「登録データアクセスプロトコル(RDAP)でのHTTPの使用」、RFC 7480、2015年3月、<http://www.rfc-editor.org / info / rfc7480>。
[RFC7482] Newton, A. and S. Hollenbeck, "Registration Data Access Protocol (RDAP) Query Format", RFC 7482, March 2015, <http://www.rfc-editor.org/info/rfc7482>.
[RFC7482]ニュートンA.およびS.ホレンベック、「Registration Data Access Protocol(RDAP)Query Format」、RFC 7482、2015年3月、<http://www.rfc-editor.org/info/rfc7482>。
[RFC7483] Newton, A. and S. Hollenbeck, "JSON Responses for the Registration Data Access Protocol (RDAP)", RFC 7483, March 2015, <http://www.rfc-editor.org/info/rfc7483>.
[RFC7483]ニュートンA.およびS.ホレンベック、「JSON Responses for the Registration Data Access Protocol(RDAP)」、RFC 7483、2015年3月、<http://www.rfc-editor.org/info/rfc7483>。
[OpenID] OpenID Foundation, "OpenID Authentication 2.0 - Final", December 2007, <http://specs.openid.net/auth/2.0>.
[OpenID] OpenID Foundation、「OpenID Authentication 2.0-Final」、2007年12月、<http://specs.openid.net/auth/2.0>。
[RFC3707] Newton, A., "Cross Registry Internet Service Protocol (CRISP) Requirements", RFC 3707, February 2004, <http://www.rfc-editor.org/info/rfc3707>.
[RFC3707]ニュートン、A。、「クロスレジストリインターネットサービスプロトコル(CRISP)要件」、RFC 3707、2004年2月、<http://www.rfc-editor.org/info/rfc3707>。
[RFC3912] Daigle, L., "WHOIS Protocol Specification", RFC 3912, September 2004, <http://www.rfc-editor.org/info/rfc3912>.
[RFC3912] Daigle、L。、「WHOIS Protocol Specification」、RFC 3912、2004年9月、<http://www.rfc-editor.org/info/rfc3912>。
[RFC4732] Handley, M., Ed., Rescorla, E., Ed., and IAB, "Internet Denial-of-Service Considerations", RFC 4732, December 2006, <http://www.rfc-editor.org/info/rfc4732>.
[RFC4732] Handley、M.、Ed。、Rescorla、E.、Ed。、およびIAB、「インターネットサービス拒否の考慮事項」、RFC 4732、2006年12月、<http://www.rfc-editor.org / info / rfc4732>。
[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", FYI 36, RFC 4949, August 2007, <http://www.rfc-editor.org/info/rfc4949>.
[RFC4949] Shirey、R。、「インターネットセキュリティ用語集、バージョン2」、FYI 36、RFC 4949、2007年8月、<http://www.rfc-editor.org/info/rfc4949>。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008, <http://www.rfc-editor.org/info/rfc5246>.
[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、2008年8月、<http://www.rfc-editor.org/info/rfc5246>。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008, <http://www.rfc-editor.org/info/rfc5280>.
[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、2008年5月、<http://www.rfc-editor.org/info/rfc5280>。
[RFC6749] Hardt, D., Ed., "The OAuth 2.0 Authorization Framework", RFC 6749, October 2012, <http://www.rfc-editor.org/info/rfc6749>.
[RFC6749] Hardt、D。、編、「The OAuth 2.0 Authorization Framework」、RFC 6749、2012年10月、<http://www.rfc-editor.org/info/rfc6749>。
[RFC7095] Kewisch, P., "jCard: The JSON Format for vCard", RFC 7095, January 2014, <http://www.rfc-editor.org/info/rfc7095>.
[RFC7095] Kewisch、P。、「jCard:The JSON Format for vCard」、RFC 7095、2014年1月、<http://www.rfc-editor.org/info/rfc7095>。
[SAML] OASIS, "Security Assertion Markup Language (SAML) v2.0", March 2005, <https://www.oasis-open.org/ standards#samlv2.0>.
[SAML] OASIS、「Security Assertion Markup Language(SAML)v2.0」、2005年3月、<https://www.oasis-open.org/standards#samlv2.0>。
[SECURE-TLS-DTLS] Sheffer, Y., Holz, R., and P. Saint-Andre, "Recommendations for Secure Use of TLS and DTLS", Work in Progress, draft-ietf-uta-tls-bcp-09, February 2015.
[SECURE-TLS-DTLS] Sheffer、Y.、Holz、R。、およびP. Saint-Andre、「TLSおよびDTLSの安全な使用に関する推奨事項」、作業中、draft-ietf-uta-tls-bcp-09 、2015年2月。
Acknowledgements
謝辞
The authors would like to acknowledge the following individuals for their contributions to this document: Richard Barnes, Marc Blanchet, Alissa Cooper, Ernie Dainow, Spencer Dawkins, Jean-Philippe Dionne, Byron Ellacott, Stephen Farrell, Tony Hansen, Peter Koch, Murray Kucherawy, Barry Leiba, Andrew Newton, and Linlin Zhou.
著者は、このドキュメントへの貢献に対して次の個人に謝意を表します:Richard Barnes、Marc Blanchet、Alissa Cooper、Ernie Dainow、Spencer Dawkins、Jean-Philippe Dionne、Byron Ellacott、Stephen Farrell、Tony Hansen、Peter Koch、Murray Kucherawy 、バリー・レイバ、アンドリュー・ニュートン、リンリン・ジョウ。
Authors' Addresses
著者のアドレス
Scott Hollenbeck Verisign Labs 12061 Bluemont Way Reston, VA 20190 United States
Scott Hollenbeck Verisign Labs 12061 Bluemont Way Reston、VA 20190アメリカ
EMail: shollenbeck@verisign.com
URI: http://www.verisignlabs.com/
Ning Kong China Internet Network Information Center 4 South 4th Street, Zhongguancun, Haidian District Beijing 100190 China
ning Kong Chinaインターネットネットワークインフォメーションセンター4南4THストリート、Zマクロビレッジ、Hショートポイント地区北京100190中国
Phone: +86 10 5881 3147
EMail: nkong@cnnic.cn