[要約] RFC 7639は、ALPN HTTPヘッダーフィールドに関する仕様であり、ALPNプロトコル拡張を使用してHTTP/2のセッションを確立するための方法を提供します。このRFCの目的は、ALPNヘッダーフィールドの使用方法を定義し、HTTP/2のパフォーマンスとセキュリティを向上させることです。
Internet Engineering Task Force (IETF) A. Hutton Request for Comments: 7639 Unify Category: Standards Track J. Uberti ISSN: 2070-1721 Google M. Thomson Mozilla August 2015
The ALPN HTTP Header Field
ALPN HTTPヘッダーフィールド
Abstract
概要
This specification allows HTTP CONNECT requests to indicate what protocol is intended to be used within the tunnel once established, using the ALPN header field.
この仕様により、HTTP CONNECT要求は、ALPNヘッダーフィールドを使用して、いったん確立されたトンネル内でどのプロトコルを使用するかを示すことができます。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7639.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7639で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2015 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2015 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2 1.1. Requirements Language . . . . . . . . . . . . . . . . . . 3 2. The ALPN HTTP Header Field . . . . . . . . . . . . . . . . . 3 2.1. Header Field Values . . . . . . . . . . . . . . . . . . . 3 2.2. Syntax . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.3. Usage . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 4 4. Security Considerations . . . . . . . . . . . . . . . . . . . 5 5. References . . . . . . . . . . . . . . . . . . . . . . . . . 6 5.1. Normative References . . . . . . . . . . . . . . . . . . 6 5.2. Informative References . . . . . . . . . . . . . . . . . 6 Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 7
The HTTP CONNECT method (Section 4.3.6 of [RFC7231]) requests that the recipient establish a tunnel to the identified origin server and thereafter forward packets, in both directions, until the tunnel is closed. Such tunnels are commonly used to create end-to-end virtual connections through one or more proxies.
HTTP CONNECTメソッド([RFC7231]のセクション4.3.6)は、受信者が識別されたオリジンサーバーへのトンネルを確立し、その後、トンネルが閉じるまでパケットを両方向に転送することを要求します。このようなトンネルは一般に、1つ以上のプロキシを介してエンドツーエンドの仮想接続を作成するために使用されます。
The ALPN HTTP header field identifies the protocol or protocols that the client intends to use within a tunnel that is established using CONNECT. This uses the Application-Layer Protocol Negotiation (ALPN) identifier [RFC7301].
ALPN HTTPヘッダーフィールドは、CONNECTを使用して確立されたトンネル内でクライアントが使用するプロトコルを識別します。これは、アプリケーション層プロトコルネゴシエーション(ALPN)識別子[RFC7301]を使用します。
For a tunnel that is then secured using Transport Layer Security (TLS) [RFC5246], the header field carries the same application protocol label as will be carried within the TLS handshake [RFC7301]. If there are multiple possible application protocols, all of those application protocols are indicated.
トランスポート層セキュリティ(TLS)[RFC5246]を使用して保護されるトンネルの場合、ヘッダーフィールドは、TLSハンドシェイク[RFC7301]内で伝送されるのと同じアプリケーションプロトコルラベルを伝送します。可能なアプリケーションプロトコルが複数ある場合は、それらすべてのアプリケーションプロトコルが表示されます。
The ALPN header field carries an indication of client intent only. An ALPN identifier is used here only to identify the application protocol or suite of protocols that the client intends to use in the tunnel. No negotiation takes place using this header field. In TLS, the final choice of application protocol is made by the server from the set of choices presented by the client. Other substrates could negotiate the application protocol differently.
ALPNヘッダーフィールドは、クライアントの意図のみを示します。ここでは、ALPN識別子は、クライアントがトンネルで使用する予定のアプリケーションプロトコルまたはプロトコルスイートを識別するためにのみ使用されます。このヘッダーフィールドを使用してネゴシエーションは行われません。 TLSでは、アプリケーションプロトコルの最終的な選択は、クライアントによって提示された選択肢のセットからサーバーによって行われます。他の基板は、アプリケーションプロトコルを異なる方法でネゴシエートできます。
Proxies do not implement the tunneled protocol, though they might choose to make policy decisions based on the value of the header field. For example, a proxy could use the application protocol to select appropriate traffic prioritization.
プロキシは、トンネルフィールドを実装していませんが、ヘッダーフィールドの値に基づいてポリシーを決定する場合があります。たとえば、プロキシはアプリケーションプロトコルを使用して、適切なトラフィックの優先順位付けを選択できます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 RFC 2119 [RFC2119]で説明されているように解釈されます。
Clients include the ALPN header field in an HTTP CONNECT request to indicate the application-layer protocol that a client intends to use within the tunnel, or a set of protocols that might be used within the tunnel.
クライアントは、HTTP CONNECT要求にALPNヘッダーフィールドを含めて、クライアントがトンネル内で使用する予定のアプリケーション層プロトコル、またはトンネル内で使用される可能性のある一連のプロトコルを示します。
Valid values for the protocol field are taken from the "Application-Layer Protocol Negotiation (ALPN) Protocol ID" registry [ALPN-IDS] established by [RFC7301].
プロトコルフィールドの有効な値は、[RFC7301]によって確立された[Application-Layer Protocol Negotiation(ALPN)Protocol ID]レジストリ[ALPN-IDS]から取得されます。
The ABNF (Augmented Backus-Naur Form) syntax for the ALPN header field value is given below. It uses the syntax defined in Section 1.2 of [RFC7230].
ALPNヘッダーフィールド値のABNF(Augmented Backus-Naur Form)構文を以下に示します。 [RFC7230]のセクション1.2で定義された構文を使用します。
ALPN = 1#protocol-id protocol-id = token ; percent-encoded ALPN protocol identifier
ALPN protocol names are octet sequences with no additional constraints on format. Octets not allowed in tokens ([RFC7230], Section 3.2.6) MUST be percent-encoded as per Section 2.1 of [RFC3986]. Consequently, the octet representing the percent character "%" (hex 25) MUST be percent-encoded as well.
ALPNプロトコル名はオクテットシーケンスであり、フォーマットに関する追加の制約はありません。トークンで許可されていないオクテット([RFC7230]、セクション3.2.6)は、[RFC3986]のセクション2.1に従ってパーセントエンコードする必要があります。したがって、パーセント文字 "%"(16進数25)を表すオクテットもパーセントエンコードする必要があります。
In order to have precisely one way to represent any ALPN protocol name, the following additional constraints apply:
ALPNプロトコル名を表す1つの方法を正確に持つために、次の追加の制約が適用されます。
o Octets in the ALPN protocol MUST NOT be percent-encoded if they are valid token characters except "%".
o ALPNプロトコルのオクテットは、「%」以外の有効なトークン文字である場合、パーセントエンコードしてはなりません。
o When using percent-encoding, uppercase hex digits MUST be used.
o パーセントエンコーディングを使用する場合は、大文字の16進数を使用する必要があります。
With these constraints, recipients can apply simple string comparison to match protocol identifiers.
これらの制約により、受信者は単純な文字列比較を適用してプロトコル識別子を照合できます。
For example:
例えば:
CONNECT www.example.com HTTP/1.1 Host: www.example.com ALPN: h2, http%2F1.1
CONNECT www.example.com HTTP / 1.1ホスト:www.example.com ALPN:h2、http%2F1.1
When used in the ALPN header field, an ALPN identifier is used to identify an entire application protocol stack, not a single protocol layer or component.
ALPNヘッダーフィールドで使用する場合、ALPN識別子は、単一のプロトコルレイヤーやコンポーネントではなく、アプリケーションプロトコルスタック全体を識別するために使用されます。
For a CONNECT tunnel that conveys a protocol secured with TLS, the value of the ALPN header field contains the same list of ALPN identifiers that will be sent in the TLS ClientHello message [RFC7301].
TLSで保護されたプロトコルを伝達するCONNECTトンネルの場合、ALPNヘッダーフィールドの値には、TLS ClientHelloメッセージ[RFC7301]で送信されるALPN識別子の同じリストが含まれます。
Where no protocol negotiation is expected to occur, such as in protocols that do not use TLS, the ALPN header field contains a single ALPN protocol identifier corresponding to the application protocol that is intended to be used. If an alternative form of protocol negotiation is possible, the ALPN header field contains the set of protocols that might be negotiated.
TLSを使用しないプロトコルなど、プロトコルネゴシエーションが発生しないと予想される場合、ALPNヘッダーフィールドには、使用する予定のアプリケーションプロトコルに対応する単一のALPNプロトコル識別子が含まれます。プロトコルネゴシエーションの代替形式が可能な場合、ALPNヘッダーフィールドには、ネゴシエートされる可能性のあるプロトコルのセットが含まれます。
A proxy can use the value of the ALPN header field to more cleanly and efficiently reject requests for a CONNECT tunnel. Exposing protocol information at the HTTP layer allows a proxy to deny requests earlier, with better error reporting (such as a 403 status code). The ALPN header field can be falsified and therefore is not a sufficient basis for authorizing a request.
プロキシは、ALPNヘッダーフィールドの値を使用して、CONNECTトンネルの要求をより明確かつ効率的に拒否できます。 HTTP層でプロトコル情報を公開すると、プロキシは要求をより早く拒否でき、エラー報告が改善されます(403ステータスコードなど)。 ALPNヘッダーフィールドは改ざんされる可能性があるため、リクエストを承認するための十分な根拠にはなりません。
A proxy could attempt to inspect packets to determine the protocol in use. This requires that the proxy understand each ALPN identifier. Protocols like TLS could hide negotiated protocols, or protocol negotiation details could change over time. Proxies SHOULD NOT break a CONNECT tunnel solely on the basis of a failure to recognize the protocol.
プロキシはパケットを検査して、使用中のプロトコルを特定しようとする可能性があります。これには、プロキシが各ALPN識別子を理解する必要があります。 TLSなどのプロトコルは、ネゴシエートされたプロトコルを非表示にするか、プロトコルネゴシエーションの詳細が時間とともに変化する可能性があります。プロキシは、プロトコルの認識の失敗のみに基づいてCONNECTトンネルを切断しないでください。
A proxy can use the ALPN header field value to change how it manages or prioritizes connections.
プロキシは、ALPNヘッダーフィールド値を使用して、接続の管理または優先順位付けの方法を変更できます。
HTTP header fields are registered within the "Permanent Message Header Field Names" registry maintained by IANA [MSG-HDRS]. This document defines and registers the ALPN header field, according to [RFC3864] as follows: Header Field Name: ALPN
HTTPヘッダーフィールドは、IANA [MSG-HDRS]が管理する「Permanent Message Header Field Names」レジストリ内に登録されます。このドキュメントは、[RFC3864]に従って、ALPNヘッダーフィールドを次のように定義および登録します。ヘッダーフィールド名:ALPN
Protocol: http
プロトコル:http
Status: Standard
ステータス:標準
Reference: Section 2 of this document (RFC 7639)
参照:このドキュメントのセクション2(RFC 7639)
Change Controller: IETF (iesg@ietf.org) - Internet Engineering Task Force
変更管理者:IETF(iesg@ietf.org)-インターネット技術特別調査委員会
In case of using HTTP CONNECT to a TURN (Traversal Using Relays around NAT, [RFC5766]) server, the security considerations of Section 4.3.6 of [RFC7231] apply. It states that there "are significant risks in establishing a tunnel to arbitrary servers, particularly when the destination is a well-known or reserved TCP port that is not intended for Web traffic. ... Proxies that support CONNECT SHOULD restrict its use to a limited set of known ports or a configurable whitelist of safe request targets."
TURN(NAT周りのリレーを使用したトラバーサル[RFC5766])サーバーへのHTTP CONNECTを使用する場合、[RFC7231]のセクション4.3.6のセキュリティに関する考慮事項が適用されます。特に、宛先がWebトラフィック用ではない既知または予約済みのTCPポートである場合は特に、任意のサーバーへのトンネルを確立する際に重大なリスクがあると述べています。... CONNECTをサポートするプロキシは、その使用を既知のポートの制限されたセットまたは安全な要求ターゲットの構成可能なホワイトリスト。」
The ALPN header field described in this document is OPTIONAL. Clients and HTTP proxies could choose not to support it and therefore either fail to provide it or ignore it when present. If the header field is not available or is ignored, a proxy cannot identify the purpose of the tunnel and use this as input to any authorization decision regarding the tunnel. This is indistinguishable from the case where either client or proxy does not support the ALPN header field.
このドキュメントで説明されているALPNヘッダーフィールドはオプションです。クライアントとHTTPプロキシはそれをサポートしないことを選択できるため、提供に失敗するか、存在しても無視します。ヘッダーフィールドが利用できないか無視される場合、プロキシはトンネルの目的を識別できず、これをトンネルに関する承認決定の入力として使用できません。これは、クライアントまたはプロキシがALPNヘッダーフィールドをサポートしていない場合と区別がつきません。
There is no confidentiality protection for the ALPN header field. ALPN identifiers that might expose confidential or sensitive information SHOULD NOT be sent, as described in Section 5 of [RFC7301].
ALPNヘッダーフィールドの機密保護はありません。 [RFC7301]のセクション5で説明されているように、機密情報または機密情報を公開する可能性のあるALPN識別子は送信しないでください。
The value of the ALPN header field could be falsified by a client. If the data being sent through the tunnel is encrypted (for example, with TLS [RFC5246]), then the proxy might not be able to directly inspect the data to verify that the claimed protocol is the one which is actually being used, though a proxy might be able to perform traffic analysis [TRAFFIC]. Therefore, a proxy cannot rely on the value of the ALPN header field as a policy input in all cases.
ALPNヘッダーフィールドの値は、クライアントによって改ざんされる可能性があります。トンネルを介して送信されるデータが暗号化されている場合(TLS [RFC5246]など)、プロキシはデータを直接検査して、要求されたプロトコルが実際に使用されているものであることを確認できない場合があります。プロキシがトラフィック分析を実行できる可能性があります[トラフィック]。したがって、プロキシは、すべてのケースでポリシー入力としてALPNヘッダーフィールドの値に依存することはできません。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。
[RFC3864] Klyne, G., Nottingham, M., and J. Mogul, "Registration Procedures for Message Header Fields", BCP 90, RFC 3864, DOI 10.17487/RFC3864, September 2004, <http://www.rfc-editor.org/info/rfc3864>.
[RFC3864] Klyne、G.、Nottingham、M。、およびJ. Mogul、「メッセージヘッダーフィールドの登録手順」、BCP 90、RFC 3864、DOI 10.17487 / RFC3864、2004年9月、<http://www.rfc- editor.org/info/rfc3864>。
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, DOI 10.17487/RFC3986, January 2005, <http://www.rfc-editor.org/info/rfc3986>.
[RFC3986] Berners-Lee、T.、Fielding、R。、およびL. Masinter、「Uniform Resource Identifier(URI):Generic Syntax」、STD 66、RFC 3986、DOI 10.17487 / RFC3986、2005年1月、<http:/ /www.rfc-editor.org/info/rfc3986>。
[RFC7230] Fielding, R. and J. Reschke, "Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing", RFC 7230, DOI 10.17487/RFC7230, June 2014, <http://www.rfc-editor.org/info/rfc7230>.
[RFC7230] Fielding、R. and J. Reschke、 "Hypertext Transfer Protocol(HTTP / 1.1):Message Syntax and Routing"、RFC 7230、DOI 10.17487 / RFC7230、June 2014、<http://www.rfc-editor。 org / info / rfc7230>。
[RFC7231] Fielding, R. and J. Reschke, "Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content", RFC 7231, DOI 10.17487/RFC7231, June 2014, <http://www.rfc-editor.org/info/rfc7231>.
[RFC7231] Fielding、R. and J. Reschke、 "Hypertext Transfer Protocol(HTTP / 1.1):Semantics and Content"、RFC 7231、DOI 10.17487 / RFC7231、June 2014、<http://www.rfc-editor.org / info / rfc7231>。
[RFC7301] Friedl, S., Popov, A., Langley, A., and E. Stephan, "Transport Layer Security (TLS) Application-Layer Protocol Negotiation Extension", RFC 7301, DOI 10.17487/RFC7301, July 2014, <http://www.rfc-editor.org/info/rfc7301>.
[RFC7301] Friedl、S.、Popov、A.、Langley、A。、およびE. Stephan、「Transport Layer Security(TLS)Application-Layer Protocol Negotiation Extension」、RFC 7301、DOI 10.17487 / RFC7301、2014年7月、< http://www.rfc-editor.org/info/rfc7301>。
[ALPN-IDS] IANA, "Application-Layer Protocol Negotiation (ALPN) Protocol ID", <http://www.iana.org/assignments/ tls-extensiontype-values>.
[ALPN-IDS] IANA、 "Application-Layer Protocol Negotiation(ALPN)Protocol ID"、<http://www.iana.org/assignments/ tls-extensiontype-values>。
[MSG-HDRS] IANA, "Permanent Message Header Field Names>", <https://www.iana.org/assignments/message-headers>.
[MSG-HDRS] IANA、「Permanent Message Header Field Names>」、<https://www.iana.org/assignments/message-headers>。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, DOI 10.17487/RFC5246, August 2008, <http://www.rfc-editor.org/info/rfc5246>.
[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、DOI 10.17487 / RFC5246、2008年8月、<http://www.rfc-editor.org/info / rfc5246>。
[RFC5766] Mahy, R., Matthews, P., and J. Rosenberg, "Traversal Using Relays around NAT (TURN): Relay Extensions to Session Traversal Utilities for NAT (STUN)", RFC 5766, DOI 10.17487/RFC5766, April 2010, <http://www.rfc-editor.org/info/rfc5766>.
[RFC5766] Mahy、R.、Matthews、P.、J。Rosenberg、「NAT(TURN)のリレーを使用したトラバーサル:NATのセッショントラバーサルユーティリティへのリレー拡張(STUN)」、RFC 5766、DOI 10.17487 / RFC5766、4月2010、<http://www.rfc-editor.org/info/rfc5766>。
[TRAFFIC] Pironti, A., Strub, P-Y., and K. Bhargavan, "Identifying Website Users by TLS Traffic Analysis: New Attacks and Effective Countermeasures, Revision 1", 2012, <https://alfredo.pironti.eu/research/publications/full/ identifying-website-users-tls-traffic-analysis-new-attacks-and-effective-counterme>.
[トラフィック] Pironti、A.、Strub、PY。、およびK. Bhargavan、「TLSトラフィック分析によるWebサイトユーザーの特定:新しい攻撃と効果的な対策、改訂1」、2012、<https://alfredo.pironti.eu/ research / publications / full / Identification-website-users-tls-traffic-analysis-new-attacks-and-effective-counterme>。
Authors' Addresses
著者のアドレス
Andrew Hutton Unify Technology Drive Nottingham NG9 1LA United Kingdom
アンドリューハットン統一テクノロジードライブノッティンガムNG9 1LAイギリス
Email: andrew.hutton@unify.com
Justin Uberti Google 747 6th Street South Kirkland, WA 98033 United States
Justin Uberti Google 747 6th Street South Kirkland、WA 98033アメリカ合衆国
Email: justin@uberti.name
Martin Thomson Mozilla 331 East Evelyn Avenue Mountain View, CA 94041 United States
Martin Thomson Mozilla 331 East Evelyn Avenue Mountain View、CA 94041アメリカ合衆国
Email: martin.thomson@gmail.com