Internet Engineering Task Force (IETF)                    P. Saint-Andre
Request for Comments: 7590                                          &yet
Updates: 6120                                                T. Alkemade
Category: Standards Track                                      June 2015
ISSN: 2070-1721
        

Use of Transport Layer Security (TLS) in the Extensible Messaging and Presence Protocol (XMPP)

拡張メッセージングおよびプレゼンスプロトコル(XMPP)でのトランスポート層セキュリティ(TLS)の使用

Abstract

概要

This document provides recommendations for the use of Transport Layer Security (TLS) in the Extensible Messaging and Presence Protocol (XMPP). This document updates RFC 6120.

このドキュメントでは、Extensible Messaging and Presence Protocol(XMPP)でのトランスポート層セキュリティ(TLS)の使用に関する推奨事項を提供します。このドキュメントはRFC 6120を更新します。

Status of This Memo

本文書の状態

This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7590.

このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7590で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2015 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2015 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents

目次

   1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . .   2
   2.  Terminology . . . . . . . . . . . . . . . . . . . . . . . . .   2
   3.  Recommendations . . . . . . . . . . . . . . . . . . . . . . .   3
     3.1.  Support for TLS . . . . . . . . . . . . . . . . . . . . .   3
     3.2.  Compression . . . . . . . . . . . . . . . . . . . . . . .   3
     3.3.  Session Resumption  . . . . . . . . . . . . . . . . . . .   3
     3.4.  Authenticated Connections . . . . . . . . . . . . . . . .   4
     3.5.  Server Name Indication  . . . . . . . . . . . . . . . . .   5
     3.6.  Human Factors . . . . . . . . . . . . . . . . . . . . . .   5
   4.  Security Considerations . . . . . . . . . . . . . . . . . . .   5
   5.  References  . . . . . . . . . . . . . . . . . . . . . . . . .   6
     5.1.  Normative References  . . . . . . . . . . . . . . . . . .   6
     5.2.  Informative References  . . . . . . . . . . . . . . . . .   7
   Appendix A.  Implementation Notes . . . . . . . . . . . . . . . .   9
   Acknowledgements  . . . . . . . . . . . . . . . . . . . . . . . .   9
   Authors' Addresses  . . . . . . . . . . . . . . . . . . . . . . .   9
        
1. Introduction
1. はじめに

The Extensible Messaging and Presence Protocol (XMPP) [RFC6120] (along with its precursor, the so-called "Jabber protocol") has used Transport Layer Security (TLS) [RFC5246] (along with its precursor, Secure Sockets Layer or SSL) since 1999. Both [RFC6120] and its predecessor [RFC3920] provided recommendations regarding the use of TLS in XMPP. In order to address the evolving threat model on the Internet today, this document provides stronger recommendations.

Extensible Messaging and Presence Protocol(XMPP)[RFC6120](その前駆体とともに、いわゆる「Jabberプロトコル」)は、Transport Layer Security(TLS)[RFC5246](その前駆体とともに、Secure Sockets LayerまたはSSL)を使用しています。 [RFC6120]とその前身[RFC3920]の両方が、XMPPでのTLSの使用に関する推奨事項を提供しました。今日のインターネット上の進化する脅威モデルに対処するために、このドキュメントはより強力な推奨事項を提供します。

In particular, this document updates [RFC6120] by specifying that XMPP implementations and deployments MUST follow the best current practices documented in the "Recommendations for Secure Use of TLS and DTLS" [RFC7525]. This includes stronger recommendations regarding SSL/TLS protocol versions, fallback to lower versions, TLS-layer compression, TLS session resumption, cipher suites, public key lengths, forward secrecy, and other aspects of using TLS with XMPP.

特に、このドキュメントは、XMPPの実装とデプロイメントが「TLSとDTLSの安全な使用に関する推奨事項」[RFC7525]で文書化されている現在のベストプラクティスに従う必要があることを指定することにより[RFC6120]を更新します。これには、SSL / TLSプロトコルバージョン、より低いバージョンへのフォールバック、TLSレイヤー圧縮、TLSセッション再開、暗号スイート、公開鍵の長さ、転送秘密、およびXMPPでTLSを使用するその他の側面に関するより強力な推奨事項が含まれます。

2. Terminology
2. 用語

Various security-related terms are to be understood in the sense defined in [RFC4949].

セキュリティ関連のさまざまな用語は、[RFC4949]で定義されている意味で理解されます。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこの文書の "は、[RFC2119]で説明されているように解釈されます。

3. Recommendations
3. 推奨事項

The best current practices documented in the "Recommendations for Secure Use of TLS and DTLS" [RFC7525] are included here by reference. Instead of repeating those recommendations here, this document mostly provides supplementary information regarding secure implementation and deployment of XMPP technologies.

「TLSおよびDTLSの安全な使用に関する推奨事項」[RFC7525]で文書化されている現在のベストプラクティスは、参照によりここに含まれています。ここでは、これらの推奨事項を繰り返す代わりに、このドキュメントでは主に、XMPPテクノロジの安全な実装と展開に関する補足情報を提供します。

3.1. Support for TLS
3.1. TLSのサポート

Support for TLS (specifically, the XMPP profile of STARTTLS) is mandatory for XMPP implementations, as already specified in [RFC6120] and its predecessor [RFC3920].

TLS(具体的には、STARTTLSのXMPPプロファイル)のサポートは、[RFC6120]とその前身[RFC3920]ですでに指定されているように、XMPP実装に必須です。

The server (i.e., the XMPP receiving entity) to which a client or peer server (i.e., the XMPP initiating entity) connects might not offer a stream feature of <starttls xmlns='urn:ietf:params:xml:ns :xmpp-tls'/>. Although in general this stream feature indicates that the server supports and offers TLS, this stream feature might be stripped out by an attacker (see Section 2.1 of [RFC7457]). Similarly, the <required/> child element of the <starttls/> stream feature is used to indicate that negotiation of TLS is mandatory; however, this could also be stripped out by an attacker. Therefore, the initiating entity MUST NOT be deterred from attempting TLS negotiation even if the receiving entity does not advertise support for TLS. Instead, the initiating entity SHOULD (based on local policy) proceed with the stream negotiation and attempt to negotiate TLS.

クライアントまたはピアサーバー(つまり、XMPP開始エンティティ)が接続するサーバー(つまり、XMPP受信エンティティ)は、<starttls xmlns = 'urn:ietf:params:xml:ns:xmpp- tls '/>。通常、このストリーム機能はサーバーがTLSをサポートおよび提供していることを示していますが、このストリーム機能は攻撃者によって取り除かれる可能性があります([RFC7457]のセクション2.1を参照)。同様に、<starttls />ストリーム機能の<required />子要素は、TLSのネゴシエーションが必須であることを示すために使用されます。ただし、これは攻撃者によって取り除かれる可能性もあります。したがって、受信側エンティティがTLSのサポートを通知していない場合でも、開始側エンティティはTLSネゴシエーションの試行を抑止してはなりません(MUST NOT)。代わりに、開始エンティティは(ローカルポリシーに基づいて)ストリームネゴシエーションを続行し、TLSのネゴシエーションを試みる必要があります(SHOULD)。

3.2. Compression
3.2. 圧縮

XMPP supports an application-layer compression technology [XEP-0138]. Although this XMPP extension might have slightly stronger security properties than TLS-layer compression (since it is enabled after Simple Authentication and Security Layer (SASL) authentication, as described in [XEP-0170]), this document neither encourages nor discourages use of XMPP-layer compression.

XMPPは、アプリケーション層圧縮技術[XEP-0138]をサポートしています。このXMPP拡張機能は、TLSレイヤー圧縮よりも少し強力なセキュリティプロパティを備えている場合があります([XEP-0170]で説明されているように、Simple Authentication and Security Layer(SASL)認証後に有効になるため)。このドキュメントでは、XMPPの使用は推奨も推奨もされません。レイヤー圧縮。

3.3. Session Resumption
3.3. セッション再開

To improve the reliability of communications over XMPP, it is common practice for clients and servers to implement the stream management extension [XEP-0198]. Although that specification includes a method for resumption of XMPP streams at the application layer, also using session resumption at the TLS layer further optimizes the overall process of resuming an XMPP session (see [XEP-0198] for detailed information). Whether or not XEP-0198 is used for application-layer session resumption, implementations MUST follow the recommendations provided in [RFC7525] regarding TLS-layer session resumption.

XMPPを介した通信の信頼性を向上させるために、クライアントとサーバーがストリーム管理拡張機能[XEP-0198]を実装することは一般的な方法です。この仕様には、アプリケーション層でのXMPPストリームの再開方法が含まれていますが、TLS層でのセッション再開も使用すると、XMPPセッションの再開プロセス全体がさらに最適化されます(詳細については、[XEP-0198]を参照してください)。 XEP-0198がアプリケーション層セッションの再開に使用されるかどうかにかかわらず、実装はTLS層セッションの再開に関して[RFC7525]で提供される推奨に従う必要があります。

3.4. Authenticated Connections
3.4. 認証された接続

Both the core XMPP specification [RFC6120] and the CertID specification [RFC6125] provide recommendations and requirements for certificate validation in the context of authenticated connections. This document does not supersede those specifications (e.g., it does not modify the recommendations in [RFC6120] regarding the Subject Alternative Names or other certificate details that need to be supported for authentication of XMPP connections using PKIX certificates).

コアXMPP仕様[RFC6120]とCertID仕様[RFC6125]の両方が、認証済み接続のコンテキストでの証明書検証の推奨事項と要件を提供しています。このドキュメントはそれらの仕様に取って代わるものではありません(たとえば、PKIX証明書を使用したXMPP接続の認証でサポートする必要があるサブジェクトの別名やその他の証明書の詳細に関する[RFC6120]の推奨事項を変更しません)。

Wherever possible, it is best to prefer authenticated connections (along with SASL [RFC4422]), as already stated in the core XMPP specification [RFC6120]. In particular:

コアXMPP仕様[RFC6120]ですでに述べられているように、可能な限り、(SASL [RFC4422]とともに)認証された接続を優先することをお勧めします。特に:

o Clients MUST authenticate servers.

o クライアントはサーバーを認証する必要があります。

o Servers MUST authenticate clients.

o サーバーはクライアントを認証する必要があります。

o Servers SHOULD authenticate other servers.

o サーバーは他のサーバーを認証する必要があります。

This document does not mandate that servers need to authenticate peer servers, although such authentication is strongly preferred. Unfortunately, in multi-tenanted environments it can be extremely difficult to obtain and deploy PKIX certificates with the proper Subject Alternative Names (see [XMPP-DNA] and [PKIX-POSH] for details). To overcome that difficulty, the Domain Name Associations (DNAs) specification [XMPP-DNA] describes a framework for XMPP server authentication methods, which include not only PKIX but also DNS-Based Authentication of Named Entities (DANE) as defined in [DANE-SRV] and PKIX over Secure HTTP (POSH) as defined in [PKIX-POSH]. These methods can provide a basis for server identity verification when appropriate PKIX certificates cannot be obtained and deployed.

このドキュメントでは、サーバーがピアサーバーを認証する必要があることを義務付けていませんが、そのような認証が強く推奨されています。残念ながら、マルチテナント環境では、適切なサブジェクトの別名を使用してPKIX証明書を取得および展開することが非常に困難な場合があります(詳細については、[XMPP-DNA]および[PKIX-POSH]を参照してください)。その困難を克服するために、ドメイン名の関連付け(DNA)仕様[XMPP-DNA]は、XMPPサーバー認証方法のフレームワークを記述しています。これには、PKIXだけでなく、[DANE-で定義されている名前付きエンティティのDNSベースの認証(DANE)も含まれます。 SRV]および[PKIX-POSH]で定義されているSecure HTTP(POSH)上のPKIX。これらの方法は、適切なPKIX証明書を取得して展開できない場合に、サーバーID検証の基礎を提供できます。

Given the pervasiveness of eavesdropping [RFC7258], even an encrypted but unauthenticated connection might be better than an unencrypted connection in these scenarios (this is similar to the "better-than-nothing security" approach for IPsec [RFC5386]). Encrypted but unauthenticated connections include connections negotiated using anonymous Diffie-Hellman mechanisms or using self-signed certificates, among others. In particular for XMPP server-to-server interactions, it can be reasonable for XMPP server implementations to accept encrypted but unauthenticated connections when Server Dialback keys [XEP-0220] are used; such keys on their own provide only weak

盗聴[RFC7258]の蔓延を考えると、暗号化されているが認証されていない接続でも、これらのシナリオでは暗号化されていない接続よりも優れている場合があります(これは、IPsec [RFC5386]の「何よりも優れたセキュリティ」アプローチに似ています)。暗号化されているが認証されていない接続には、匿名のDiffie-Hellmanメカニズムや自己署名証明書などを使用してネゴシエートされた接続が含まれます。特にXMPPサーバー間の相互作用では、サーバーダイヤルバックキー[XEP-0220]を使用する場合、XMPPサーバーの実装が暗号化されているが認証されていない接続を受け入れるのが妥当です。そのようなキーはそれ自体では弱いだけを提供します

identity verification (made stronger through the use of DNSSEC [RFC4033]), but this at least enables encryption of server-to-server connections. The DNA prooftypes mentioned above are intended to mitigate the residual need for encrypted but unauthenticated connections in these scenarios.

ID検証(DNSSEC [RFC4033]の使用により強力になりました)が、これにより少なくともサーバー間接続の暗号化が可能になります。上記のDNAプルーフタイプは、これらのシナリオでの暗号化されたが認証されていない接続の残りの必要性を軽減することを目的としています。

3.5. Server Name Indication
3.5. サーバー名表示

Although there is no harm in supporting the TLS Server Name Indication (SNI) extension [RFC6066], this is not necessary since the same function is served in XMPP by the 'to' address of the initial stream header as explained in Section 4.7.2 of [RFC6120].

TLSサーバー名表示(SNI)拡張[RFC6066]のサポートに害はありませんが、セクション4.7.2で説明されているように、初期ストリームヘッダーの「宛先」アドレスによってXMPPで同じ機能が提供されるため、これは必要ありません。 [RFC6120]の。

3.6. Human Factors
3.6. 人的要因

It is strongly encouraged that XMPP clients provide ways for end users (and that XMPP servers provide ways for administrators) to complete the following tasks:

XMPPクライアントがエンドユーザーに次のタスクを完了する方法を提供すること(およびXMPPサーバーが管理者に方法を提供すること)を強くお勧めします。

o Determine if a given incoming or outgoing XML stream is encrypted using TLS.

o 特定の着信または発信XMLストリームがTLSを使用して暗号化されているかどうかを判断します。

o Determine the version of TLS used for encryption of a given stream.

o 特定のストリームの暗号化に使用されるTLSのバージョンを決定します。

o If authenticated encryption is used, determine how the connection was authenticated or verified (e.g., via PKI, DANE, POSH, or Server Dialback).

o 認証された暗号化が使用されている場合は、接続がどのように認証または検証されたかを確認します(たとえば、PKI、DANE、POSH、またはサーバーダイヤルバックを介して)。

o Inspect the certificate offered by an XMPP server.

o XMPPサーバーから提供された証明書を検査します。

o Determine the cipher suite used to encrypt a connection.

o 接続の暗号化に使用される暗号スイートを決定します。

o Be warned if the certificate changes for a given server.

o 特定のサーバーの証明書が変更された場合は警告が表示されます。

4. Security Considerations
4. セキュリティに関する考慮事項

The use of TLS can help to limit the information available for correlation between the XMPP application layer and the underlying network and transport layers. As typically deployed, XMPP technologies do not leave application-layer routing data (such as XMPP 'to' and 'from' addresses) at rest on intermediate systems, since there is only one hop between any two given XMPP servers. As a result, encrypting all hops (sender's client to sender's server, sender's server to recipient's server, and recipient's server to recipient's client) can help to limit the amount of metadata that might leak.

TLSの使用は、XMPPアプリケーションレイヤーと、基盤となるネットワークおよびトランスポートレイヤーとの間の相関関係に利用できる情報を制限するのに役立ちます。通常、展開されているように、XMPPテクノロジは中間層にアプリケーションレイヤールーティングデータ(XMPPの「宛先」アドレスや「送信元」アドレスなど)を残しません。これは、特定の2つのXMPPサーバー間のホップが1つしかないためです。その結果、すべてのホップ(送信者のクライアントから送信者のサーバーへ、送信者のサーバーから受信者のサーバーへ、および受信者のサーバーから受信者のクライアントへ)を暗号化すると、リークする可能性のあるメタデータの量を制限できます。

It is possible that XMPP servers themselves might be compromised. In that case, per-hop encryption would not protect XMPP communications, and even end-to-end encryption of (parts of) XMPP stanza payloads would leave addressing information and XMPP roster data in the clear. By the same token, it is possible that XMPP clients (or the end-user devices on which such clients are installed) could also be compromised, leaving users utterly at the mercy of an adversary.

XMPPサーバー自体が侵害される可能性があります。その場合、ホップごとの暗号化はXMPP通信を保護せず、XMPPスタンザペイロード(の一部)のエンドツーエンドの暗号化でさえ、アドレス指定情報とXMPP名簿データを平文のまま残します。同様に、XMPPクライアント(またはそのようなクライアントがインストールされているエンドユーザーデバイス)も危険にさらされる可能性があり、ユーザーは完全に攻撃者のなすがままになります。

This document and related actions to strengthen the security of the XMPP network are based on the assumption that XMPP servers and clients have not been subject to widespread compromise. If this assumption is valid, then ubiquitous use of per-hop TLS channel encryption and more significant deployment of end-to-end object encryption technologies will serve to protect XMPP communications to a measurable degree, compared to the alternatives.

このドキュメントと、XMPPネットワークのセキュリティを強化するための関連するアクションは、XMPPサーバーとクライアントが広範囲にわたる侵害を受けていないという前提に基づいています。この仮定が有効である場合、ホップごとのTLSチャネル暗号化のユビキタスな使用と、エンドツーエンドのオブジェクト暗号化技術のより重要な展開は、代替案と比較して、測定可能な程度にXMPP通信を保護するのに役立ちます。

This document covers only communication over the XMPP network and does not take into account gateways to non-XMPP networks. As an example, for security considerations related to gateways between XMPP and the Session Initiation Protocol (SIP), see [RFC7247] and [RFC7572].

このドキュメントでは、XMPPネットワーク経由の通信のみを扱い、非XMPPネットワークへのゲートウェイは考慮していません。例として、XMPPとセッション開始プロトコル(SIP)の間のゲートウェイに関連するセキュリティの考慮事項については、[RFC7247]と[RFC7572]を参照してください。

5. References
5. 参考文献
5.1. Normative References
5.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。

[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", FYI 36, RFC 4949, DOI 10.17487/RFC4949, August 2007, <http://www.rfc-editor.org/info/rfc4949>.

[RFC4949] Shirey、R。、「インターネットセキュリティ用語集、バージョン2」、FYI 36、RFC 4949、DOI 10.17487 / RFC4949、2007年8月、<http://www.rfc-editor.org/info/rfc4949>。

[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, DOI 10.17487/RFC5246, August 2008, <http://www.rfc-editor.org/info/rfc5246>.

[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、DOI 10.17487 / RFC5246、2008年8月、<http://www.rfc-editor.org/info / rfc5246>。

[RFC6120] Saint-Andre, P., "Extensible Messaging and Presence Protocol (XMPP): Core", RFC 6120, DOI 10.17487/RFC6120, March 2011, <http://www.rfc-editor.org/info/rfc6120>.

[RFC6120] Saint-Andre、P。、「Extensible Messaging and Presence Protocol(XMPP):Core」、RFC 6120、DOI 10.17487 / RFC6120、2011年3月、<http://www.rfc-editor.org/info/rfc6120 >。

[RFC6125] Saint-Andre, P. and J. Hodges, "Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)", RFC 6125, DOI 10.17487/RFC6125, March 2011, <http://www.rfc-editor.org/info/rfc6125>.

[RFC6125] Saint-Andre、P。およびJ. Hodges、「トランスポート層セキュリティ(TLS)のコンテキストでX.​​509(PKIX)証明書を使用したインターネット公開鍵インフラストラクチャ内のドメインベースのアプリケーションサービスIDの表現と検証」、 RFC 6125、DOI 10.17487 / RFC6125、2011年3月、<http://www.rfc-editor.org/info/rfc6125>。

[RFC7525] Sheffer, Y., Holz, R., and P. Saint-Andre, "Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)", BCP 195, RFC 7525, DOI 10.17487/RFC7525, May 2015, <http://www.rfc-editor.org/info/rfc7525>.

[RFC7525] Sheffer、Y.、Holz、R。、およびP. Saint-Andre、「Transport Layer Security(TLS)およびDatagram Transport Layer Security(DTLS)の安全な使用に関する推奨事項」、BCP 195、RFC 7525、DOI 10.17487 / RFC7525、2015年5月、<http://www.rfc-editor.org/info/rfc7525>。

5.2. Informative References
5.2. 参考引用

[DANE-SRV] Finch, T., Miller, M., and P. Saint-Andre, "Using DNS-Based Authentication of Named Entities (DANE) TLSA records with SRV and MX records.", Work in Progress, draft-ietf-dane-srv-14, April 2015.

[DANE-SRV] Finch、T.、Miller、M。、およびP. Saint-Andre、「DNSベースの名前付きエンティティの認証(DANE)TLSAレコードとSRVおよびMXレコードの使用」、作業中、ドラフト- ietf-dane-srv-14、2015年4月。

[PKIX-POSH] Miller, M. and P. Saint-Andre, "PKIX over Secure HTTP (POSH)", Work in Progress, draft-ietf-xmpp-posh-04, February 2015.

[PKIX-POSH] Miller、M。およびP. Saint-Andre、「PKIX over Secure HTTP(POSH)」、Work in Progress、draft-ietf-xmpp-posh-04、2015年2月。

[RFC3920] Saint-Andre, P., Ed., "Extensible Messaging and Presence Protocol (XMPP): Core", RFC 3920, DOI 10.17487/RFC3920, October 2004, <http://www.rfc-editor.org/info/rfc3920>.

[RFC3920] Saint-Andre、P。、編、「Extensible Messaging and Presence Protocol(XMPP):Core」、RFC 3920、DOI 10.17487 / RFC3920、2004年10月、<http://www.rfc-editor.org/ info / rfc3920>。

[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, DOI 10.17487/RFC4033, March 2005, <http://www.rfc-editor.org/info/rfc4033>.

[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNSセキュリティの概要と要件」、RFC 4033、DOI 10.17487 / RFC4033、2005年3月、<http: //www.rfc-editor.org/info/rfc4033>。

[RFC4422] Melnikov, A., Ed. and K. Zeilenga, Ed., "Simple Authentication and Security Layer (SASL)", RFC 4422, DOI 10.17487/RFC4422, June 2006, <http://www.rfc-editor.org/info/rfc4422>.

[RFC4422]メルニコフ、A。、エド。 K. Zeilenga編、「Simple Authentication and Security Layer(SASL)」、RFC 4422、DOI 10.17487 / RFC4422、2006年6月、<http://www.rfc-editor.org/info/rfc4422>。

[RFC5386] Williams, N. and M. Richardson, "Better-Than-Nothing Security: An Unauthenticated Mode of IPsec", RFC 5386, DOI 10.17487/RFC5386, November 2008, <http://www.rfc-editor.org/info/rfc5386>.

[RFC5386]ウィリアムズN.およびM.リチャードソン、「Better-Than-Nothing Security:An Unauthenticated Mode of IPsec」、RFC 5386、DOI 10.17487 / RFC5386、2008年11月、<http://www.rfc-editor.org / info / rfc5386>。

[RFC6066] Eastlake 3rd, D., "Transport Layer Security (TLS) Extensions: Extension Definitions", RFC 6066, DOI 10.17487/RFC6066, January 2011, <http://www.rfc-editor.org/info/rfc6066>.

[RFC6066] Eastlake 3rd、D。、「Transport Layer Security(TLS)Extensions:Extension Definitions」、RFC 6066、DOI 10.17487 / RFC6066、2011年1月、<http://www.rfc-editor.org/info/rfc6066> 。

[RFC7247] Saint-Andre, P., Houri, A., and J. Hildebrand, "Interworking between the Session Initiation Protocol (SIP) and the Extensible Messaging and Presence Protocol (XMPP): Architecture, Addresses, and Error Handling", RFC 7247, DOI 10.17487/RFC7247, May 2014, <http://www.rfc-editor.org/info/rfc7247>.

[RFC7247] Saint-Andre、P.、Houri、A。、およびJ. Hildebrand、「Session Initiation Protocol(SIP)とExtensible Messaging and Presence Protocol(XMPP):Architecture、Addresses、and Error Handlingの間のインターワーキング」、 RFC 7247、DOI 10.17487 / RFC7247、2014年5月、<http://www.rfc-editor.org/info/rfc7247>。

[RFC7258] Farrell, S. and H. Tschofenig, "Pervasive Monitoring Is an Attack", BCP 188, RFC 7258, DOI 10.17487/RFC7258, May 2014, <http://www.rfc-editor.org/info/rfc7258>.

[RFC7258] Farrell、S。およびH. Tschofenig、「Pervasive Monitoring Is a Attack」、BCP 188、RFC 7258、DOI 10.17487 / RFC7258、2014年5月、<http://www.rfc-editor.org/info/rfc7258 >。

[RFC7457] Sheffer, Y., Holz, R., and P. Saint-Andre, "Summarizing Known Attacks on Transport Layer Security (TLS) and Datagram TLS (DTLS)", RFC 7457, DOI 10.17487/RFC7457, February 2015, <http://www.rfc-editor.org/info/rfc7457>.

[RFC7457] Sheffer、Y.、Holz、R。、およびP. Saint-Andre、「トランスポート層セキュリティ(TLS)およびデータグラムTLS(DTLS)に対する既知の攻撃の要約」、RFC 7457、DOI 10.17487 / RFC7457、2015年2月、 <http://www.rfc-editor.org/info/rfc7457>。

[RFC7572] Saint-Andre, P., Houri, A., and J. Hildebrand, "Interworking between the Session Initiation Protocol (SIP) and the Extensible Messaging and Presence Protocol (XMPP): Instant Messaging", RFC 7572, DOI 10.17487/RFC7572, June 2015, <http://www.rfc-editor.org/info/rfc7572>.

[RFC7572] Saint-Andre、P.、Houri、A。、およびJ. Hildebrand、「Session Initiation Protocol(SIP)とExtensible Messaging and Presence Protocol(XMPP):Instant Messaging」の間のインターワーキング:RFC 7572、DOI 10.17487 / RFC7572、2015年6月、<http://www.rfc-editor.org/info/rfc7572>。

[XEP-0138] Hildebrand, J. and P. Saint-Andre, "Stream Compression", XSF XEP 0138, May 2009, <http://xmpp.org/extensions/xep-0138.html>.

[XEP-0138] Hildebrand、J。およびP. Saint-Andre、「Stream Compression」、XSF XEP 0138、2009年5月、<http://xmpp.org/extensions/xep-0138.html>。

[XEP-0170] Saint-Andre, P., "Recommended Order of Stream Feature Negotiation", XSF XEP 0170, January 2007, <http://xmpp.org/extensions/xep-0170.html>.

[XEP-0170] Saint-Andre、P。、「Recommended Order of Stream Feature Negotiation」、XSF XEP 0170、2007年1月、<http://xmpp.org/extensions/xep-0170.html>。

[XEP-0198] Karneges, J., Saint-Andre, P., Hildebrand, J., Forno, F., Cridland, D., and M. Wild, "Stream Management", XSF XEP 0198, June 2011, <http://xmpp.org/extensions/xep-0198.html>.

[XEP-0198] Karneges、J.、Saint-Andre、P.、Hildebrand、J.、Forno、F.、Cridland、D。、およびM. Wild、「ストリーム管理」、XSF XEP 0198、2011年6月、< http://xmpp.org/extensions/xep-0198.html>。

[XEP-0220] Miller, J., Saint-Andre, P., and P. Hancke, "Server Dialback", XSF XEP 0220, August 2014, <http://xmpp.org/extensions/xep-0220.html>.

[XEP-0220] Miller、J.、Saint-Andre、P。、およびP. Hancke、「Server Dialback」、XSF XEP 0220、2014年8月、<http://xmpp.org/extensions/xep-0220.html >。

[XMPP-DNA] Saint-Andre, P. and M. Miller, "Domain Name Associations (DNA) in the Extensible Messaging and Presence Protocol (XMPP)", Work in Progress, draft-ietf-xmpp-dna-10, March 2015.

[XMPP-DNA] Saint-Andre、P。およびM. Miller、「Extensible Messaging and Presence Protocol(XMPP)におけるドメイン名アソシエーション(DNA)」、作業中、draft-ietf-xmpp-dna-10、3月2015。

Appendix A. Implementation Notes
付録A.実装上の注意

Some governments enforce legislation prohibiting the export of strong cryptographic technologies. Nothing in this document ought to be taken as advice to violate such prohibitions.

一部の政府は、強力な暗号化技術の輸出を禁止する法律を施行しています。この文書のいかなるものも、そのような禁止事項に違反するためのアドバイスとして解釈されるべきではありません。

Acknowledgements

謝辞

The authors would like to thank the following individuals for their input: Dave Cridland, Philipp Hancke, Olle Johansson, Steve Kille, Tobias Markmann, Matt Miller, and Rene Treffer.

著者は、次の個人に感謝したいと思います:Dave Cridland、Philipp Hancke、Olle Johansson、Steve Kille、Tobias Markmann、Matt Miller、およびRene Treffer。

Roni Even caught several important issues in his review on behalf of the General Area Review Team.

ロニでさえ、一般地域審査チームに代わって彼の審査でいくつかの重要な問題を捉えました。

Ben Campbell, Spencer Dawkins, and Barry Leiba provided helpful input during IESG review.

ベンキャンベル、スペンサードーキンス、バリーレイバは、IESGのレビュー中に有益な情報を提供しました。

Thanks to Leif Johansson and Orit Levin as chairs of the UTA WG, Ben Campbell and Joe Hildebrand as chairs of the XMPP WG, and Stephen Farrell as the sponsoring Area Director.

UTA WGの議長を務めたLeif JohanssonとOrit Levin、XMPP WGの議長を務めたBen CampbellとJoe Hildebrand、そしてスポンサーエリアディレクターを務めたStephen Farrellに感謝します。

Authors' Addresses

著者のアドレス

Peter Saint-Andre &yet

ピーターサンタンドレ&まだ

   EMail: peter@andyet.com
   URI:   https://andyet.com/
        

Thijs Alkemade

Thijs Alkemade

   EMail: me@thijsalkema.de