[要約] RFC 8336は、ORIGIN HTTP/2フレームに関する仕様であり、HTTP/2のセキュリティとプライバシーを向上させるための新しいフレームを導入します。このRFCの目的は、クライアントとサーバー間の通信を保護し、不正なリクエストや情報漏洩を防ぐことです。
Internet Engineering Task Force (IETF) M. Nottingham
Request for Comments: 8336
Category: Standards Track E. Nygren
ISSN: 2070-1721 Akamai Technologies
March 2018
The ORIGIN HTTP/2 Frame
ORIGIN HTTP / 2フレーム
Abstract
概要
This document specifies the ORIGIN frame for HTTP/2, to indicate what origins are available on a given connection.
このドキュメントは、HTTP / 2のORIGINフレームを指定して、特定の接続で利用可能なオリジンを示します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8336.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8336で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2018 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2018 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2
1.1. Notational Conventions . . . . . . . . . . . . . . . . . 2
2. The ORIGIN HTTP/2 Frame . . . . . . . . . . . . . . . . . . . 3
2.1. Syntax . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Processing ORIGIN Frames . . . . . . . . . . . . . . . . 3
2.3. The Origin Set . . . . . . . . . . . . . . . . . . . . . 4
2.4. Authority, Push, and Coalescing with ORIGIN . . . . . . . 6
3. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 7
4. Security Considerations . . . . . . . . . . . . . . . . . . . 7
5. References . . . . . . . . . . . . . . . . . . . . . . . . . 8
5.1. Normative References . . . . . . . . . . . . . . . . . . 8
5.2. Informative References . . . . . . . . . . . . . . . . . 8
Appendix A. Non-Normative Processing Algorithm . . . . . . . . . 10
Appendix B. Operational Considerations for Servers . . . . . . . 10
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 11
HTTP/2 [RFC7540] allows clients to coalesce different origins [RFC6454] onto the same connection when certain conditions are met. However, in some cases, a connection is not usable for a coalesced origin, so the 421 (Misdirected Request) status code ([RFC7540], Section 9.1.2) was defined.
HTTP / 2 [RFC7540]を使用すると、クライアントは、特定の条件が満たされた場合に、異なる接続元[RFC6454]を同じ接続に結合できます。ただし、結合されたオリジンで接続が使用できない場合があるため、421(Misdirected Request)ステータスコード([RFC7540]、セクション9.1.2)が定義されました。
Using a status code in this manner allows clients to recover from misdirected requests, but at the penalty of adding latency. To address that, this specification defines a new HTTP/2 frame type, "ORIGIN", to allow servers to indicate for which origins a connection is usable.
この方法でステータスコードを使用すると、クライアントは誤って送信された要求から回復できますが、待ち時間が増えるというペナルティがあります。これに対処するために、この仕様では、サーバーが接続の使用可能な発信元を示すことができるように、新しいHTTP / 2フレームタイプ「ORIGIN」を定義しています。
Additionally, experience has shown that HTTP/2's requirement to establish server authority using both DNS and the server's certificate is onerous. This specification relaxes the requirement to check DNS when the ORIGIN frame is in use. Doing so has additional benefits, such as removing the latency associated with some DNS lookups.
さらに、DNSとサーバーの証明書の両方を使用してサーバー権限を確立するためのHTTP / 2の要件は面倒であることが経験からわかっています。この仕様は、ORIGINフレームが使用されているときにDNSをチェックする要件を緩和します。これにより、一部のDNSルックアップに関連するレイテンシが削除されるなどの追加の利点があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこのドキュメントの「」は、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。
This document defines a new HTTP/2 frame type ([RFC7540], Section 4) called ORIGIN, that allows a server to indicate what origin(s) [RFC6454] the server would like the client to consider as members of the Origin Set (Section 2.3) for the connection within which it occurs.
このドキュメントでは、ORIGINと呼ばれる新しいHTTP / 2フレームタイプ([RFC7540]、セクション4)を定義しています。これにより、サーバーは、クライアントがオリジンセット(セクション2.3)それが発生する接続について。
The ORIGIN frame type is 0xc (decimal 12) and contains zero or more instances of the Origin-Entry field.
ORIGINフレームタイプは0xc(10進数の12)で、Origin-Entryフィールドの0個以上のインスタンスが含まれています。
+-------------------------------+-------------------------------+
| Origin-Entry (*) ...
+-------------------------------+-------------------------------+
An Origin-Entry is a length-delimited string:
Origin-Entryは、長さで区切られた文字列です。
+-------------------------------+-------------------------------+
| Origin-Len (16) | ASCII-Origin? ...
+-------------------------------+-------------------------------+
Specifically:
具体的には:
Origin-Len: An unsigned, 16-bit integer indicating the length, in octets, of the ASCII-Origin field.
Origin-Len:ASCII-Originフィールドの長さをオクテットで示す符号なしの16ビット整数。
Origin: An OPTIONAL sequence of characters containing the ASCII serialization of an origin ([RFC6454], Section 6.2) that the sender asserts this connection is or could be authoritative for.
発信元:送信者がこの接続を主張する、または信頼できる可能性がある発信元のASCIIシリアル化を含むオプションの文字シーケンス([RFC6454]、セクション6.2)。
The ORIGIN frame does not define any flags. However, future updates to this specification MAY define flags. See Section 2.2.
ORIGINフレームはフラグを定義しません。ただし、この仕様の将来の更新ではフラグを定義する場合があります。セクション2.2を参照してください。
The ORIGIN frame is a non-critical extension to HTTP/2. Endpoints that do not support this frame can safely ignore it upon receipt.
ORIGINフレームは、HTTP / 2の重要ではない拡張です。このフレームをサポートしないエンドポイントは、受信時に安全に無視できます。
When received by an implementing client, it is used to initialize and manipulate the Origin Set (see Section 2.3), thereby changing how the client establishes authority for origin servers (see Section 2.4).
実装クライアントが受け取ると、それはオリジンセットの初期化と操作(セクション2.3を参照)に使用され、それによってクライアントがオリジンサーバーの権限を確立する方法を変更します(セクション2.4を参照)。
The ORIGIN frame MUST be sent on stream 0; an ORIGIN frame on any other stream is invalid and MUST be ignored.
ORIGINフレームはストリーム0で送信する必要があります。他のストリームのORIGINフレームは無効であり、無視する必要があります。
Likewise, the ORIGIN frame is only valid on connections with the "h2" protocol identifier or when specifically nominated by the protocol's definition; it MUST be ignored when received on a connection with the "h2c" protocol identifier.
同様に、ORIGINフレームは、「h2」プロトコル識別子を持つ接続で、またはプロトコルの定義によって明確に指定されている場合にのみ有効です。 「h2c」プロトコル識別子との接続で受信された場合、それは無視されなければなりません。
This specification does not define any flags for the ORIGIN frame, but future updates to this specification (through IETF consensus) might use them to change its semantics. The first four flags (0x1, 0x2, 0x4, and 0x8) are reserved for backwards-incompatible changes; therefore, when any of them are set, the ORIGIN frame containing them MUST be ignored by clients conforming to this specification, unless the flag's semantics are understood. The remaining flags are reserved for backwards-compatible changes and do not affect processing by clients conformant to this specification.
この仕様はORIGINフレームのフラグを定義していませんが、この仕様への将来の更新(IETFコンセンサスによる)は、それらを使用してセマンティクスを変更する可能性があります。最初の4つのフラグ(0x1、0x2、0x4、および0x8)は、下位互換性のない変更のために予約されています。したがって、それらのいずれかが設定されている場合、フラグのセマンティクスが理解されていない限り、それらを含むORIGINフレームは、この仕様に準拠するクライアントによって無視される必要があります。残りのフラグは下位互換性のある変更のために予約されており、この仕様に準拠するクライアントによる処理には影響しません。
The ORIGIN frame describes a property of the connection and therefore is processed hop by hop. An intermediary MUST NOT forward ORIGIN frames. Clients configured to use a proxy MUST ignore any ORIGIN frames received from it.
ORIGINフレームは、接続のプロパティを記述するため、ホップごとに処理されます。仲介者はORIGINフレームを転送してはなりません。プロキシを使用するように構成されたクライアントは、プロキシから受信したORIGINフレームを無視する必要があります。
Each ASCII-Origin field in the frame's payload MUST be parsed as an ASCII serialization of an origin ([RFC6454], Section 6.2). If parsing fails, the field MUST be ignored.
フレームのペイロードの各ASCII-Originフィールドは、オリジンのASCIIシリアル化として解析する必要があります([RFC6454]、セクション6.2)。解析が失敗した場合は、フィールドを無視する必要があります。
Note that the ORIGIN frame does not support wildcard names (e.g., "*.example.com") in Origin-Entry. As a result, sending ORIGIN when a wildcard certificate is in use effectively disables any origins that are not explicitly listed in the ORIGIN frame(s) (when the client understands ORIGIN).
ORIGINフレームは、Origin-Entryでワイルドカード名(たとえば、「*。example.com」)をサポートしていないことに注意してください。その結果、ワイルドカード証明書が使用されているときにORIGINを送信すると、ORIGINフレームに明示的にリストされていないオリジンが事実上無効になります(クライアントがORIGINを理解している場合)。
See Appendix A for an illustrative algorithm for processing ORIGIN frames.
ORIGINフレームを処理するためのアルゴリズムの例については、付録Aを参照してください。
The set of origins (as per [RFC6454]) that a given connection might be used for is known in this specification as the Origin Set.
特定の接続が使用される可能性のあるオリジンのセット([RFC6454]による)は、この仕様ではオリジンセットと呼ばれています。
By default, the Origin Set for a connection is uninitialized. An uninitialized Origin Set means that clients apply the coalescing rules from Section 9.1.1 of [RFC7540].
デフォルトでは、接続のオリジンセットは初期化されていません。初期化されていないオリジンセットは、クライアントが[RFC7540]のセクション9.1.1の合体ルールを適用することを意味します。
When an ORIGIN frame is first received and successfully processed by a client, the connection's Origin Set is defined to contain an initial origin. The initial origin is composed from:
ORIGINフレームが最初に受信され、クライアントによって正常に処理されると、接続のオリジンセットは、初期オリジンを含むように定義されます。最初の原点は次のものから構成されます。
o Scheme: "https"
o スキーム:「https」
o Host: the value sent in Server Name Indication (SNI) ([RFC6066], Section 3) converted to lower case; if SNI is not present, the remote address of the connection (i.e., the server's IP address)
o ホスト:サーバー名表示(SNI)([RFC6066]、セクション3)で送信された値が小文字に変換されます。 SNIが存在しない場合、接続のリモートアドレス(つまり、サーバーのIPアドレス)
o Port: the remote port of the connection (i.e., the server's port)
o ポート:接続のリモートポート(つまり、サーバーのポート)
The contents of that ORIGIN frame (and subsequent ones) allow the server to incrementally add new origins to the Origin Set, as described in Section 2.2.
セクション2.2で説明されているように、そのORIGINフレーム(および後続のフレーム)の内容により、サーバーは新しいオリジンをオリジンセットに段階的に追加できます。
The Origin Set is also affected by the 421 (Misdirected Request) response status code, as defined in [RFC7540], Section 9.1.2. Upon receipt of a response with this status code, implementing clients MUST create the ASCII serialization of the corresponding request's origin (as per [RFC6454], Section 6.2) and remove it from the connection's Origin Set, if present.
[RFC7540]のセクション9.1.2で定義されているように、オリジンセットは421(Misdirected Request)レスポンスステータスコードの影響も受けます。このステータスコードを含む応答を受信すると、実装しているクライアントは、対応するリクエストのオリジンのASCIIシリアル化を作成し([RFC6454]、セクション6.2に従って)、存在する場合は接続のオリジンセットから削除する必要があります。
Note: When sending an ORIGIN frame to a connection that is initialized as an alternative service [RFC7838], the initial Origin Set (Section 2.3) will contain an origin with the appropriate scheme and hostname (since RFC 7838 specifies that the origin's hostname be sent in SNI). However, it is possible that the port will be different than that of the intended origin, since the initial Origin Set is calculated using the actual port in use, which can be different for the alternative service. In this case, the intended origin needs to be sent in the ORIGIN frame explicitly.
注:ORIGINフレームを代替サービス[RFC7838]として初期化された接続に送信すると、最初のオリジンセット(2.3節)には適切なスキームとホスト名を持つオリジンが含まれます(RFC 7838がオリジンのホスト名の送信を指定しているため) SNIで)。ただし、最初のオリジンセットは使用中の実際のポートを使用して計算されるため、ポートが目的のオリジンのポートと異なる可能性があります。これは、代替サービスでは異なる場合があります。この場合、目的のオリジンをORIGINフレームで明示的に送信する必要があります。
For example, a client making requests for "https://example.com" is directed to an alternative service at ("h2", "x.example.net", "8443"). If this alternative service sends an ORIGIN frame, the initial origin will be "https://example.com:8443". The client will not be able to use the alternative service to make requests for "https://example.com" unless that origin is explicitly included in the ORIGIN frame.
たとえば、「https://example.com」をリクエストするクライアントは、(「h2」、「x.example.net」、「8443」)の代替サービスに転送されます。この代替サービスがORIGINフレームを送信する場合、最初のオリジンは「https://example.com:8443」になります。その起源が明示的にORIGINフレームに含まれていない限り、クライアントは代替サービスを使用して「https://example.com」をリクエストできません。
Section 10.1 of [RFC7540] uses both DNS and the presented Transport Layer Security (TLS) certificate to establish the origin server(s) that a connection is authoritative for, just as HTTP/1.1 does in [RFC7230].
[RFC7540]のセクション10.1は、DNSと提示されたトランスポート層セキュリティ(TLS)証明書の両方を使用して、[RFC7230]のHTTP / 1.1と同様に、接続が信頼できるオリジンサーバーを確立します。
Furthermore, Section 9.1.1 of [RFC7540] explicitly allows a connection to be used for more than one origin server, if it is authoritative. This affects what responses can be considered authoritative, both for direct responses to requests and for server push (see [RFC7540], Section 8.2.2). Indirectly, it also affects what requests will be sent on a connection, since clients will generally only send requests on connections that they believe to be authoritative for the origin in question.
さらに、[RFC7540]のセクション9.1.1では、信頼できる場合、接続を複数のオリジンサーバーで使用することを明示的に許可しています。これは、リクエストへの直接応答とサーバープッシュの両方について、どの応答が信頼できると見なすことができるかに影響します([RFC7540]、セクション8.2.2を参照)。間接的に、クライアントは通常、問題の発信元に対して信頼できると思われる接続でのみ要求を送信するため、接続で送信される要求にも影響します。
Once an Origin Set has been initialized for a connection, clients that implement this specification use it to help determine what the connection is authoritative for. Specifically, such clients MUST NOT consider a connection to be authoritative for an origin not present in the Origin Set, and they SHOULD use the connection for all requests to origins in the Origin Set for which the connection is authoritative, unless there are operational reasons for opening a new connection.
Origin Setが接続用に初期化されると、この仕様を実装するクライアントはそれを使用して、接続が信頼できるものかどうかを判断するのに役立ちます。具体的には、そのようなクライアントは、接続がオリジンセットに存在しないオリジンに対して権限があると見なしてはならず(MUST NOT)、操作上の理由がない限り、クライアントは、接続が権限のあるオリジンセット内のオリジンへのすべてのリクエストに接続を使用する必要があります。新しい接続を開きます。
Note that for a connection to be considered authoritative for a given origin, the server is still required to authenticate with a certificate that passes suitable checks; see Section 9.1.1 of [RFC7540] for more information. This includes verifying that the host matches a "dNSName" value from the certificate "subjectAltName" field (using the rules defined in [RFC2818]; see also [RFC5280], Section 4.2.1.6).
接続が特定のオリジンに対して信頼できると見なされるためには、サーバーは適切なチェックに合格した証明書で認証する必要があります。詳細については、[RFC7540]のセクション9.1.1をご覧ください。これには、ホストが証明書の「subjectAltName」フィールドの「dNSName」値と一致することの確認が含まれます([RFC2818]で定義されたルールを使用。[RFC5280]、セクション4.2.1.6も参照)。
Additionally, clients MAY avoid consulting DNS to establish the connection's authority for new requests to origins in the Origin Set; however, those that do so face new risks, as explained in Section 4.
さらに、クライアントは、オリジンセット内のオリジンへの新しいリクエストに対する接続の権限を確立するためにDNSを参照することを避けてもよい(MAY)。ただし、セクション4で説明されているように、そうしたリスクは新しいリスクに直面します。
Because ORIGIN can change the set of origins a connection is used for over time, it is possible that a client might have more than one viable connection to an origin open at any time. When this occurs, clients SHOULD NOT emit new requests on any connection whose Origin Set is a proper subset of another connection's Origin Set, and they SHOULD close it once all outstanding requests are satisfied.
ORIGINは、接続が使用される起点のセットを時間の経過とともに変更できるため、クライアントがいつでも開いている起点への複数の実行可能な接続を開いている可能性があります。これが発生した場合、クライアントは、元のセットが別の接続の元のセットの適切なサブセットである接続で新しいリクエストを発行してはならず(SHOULD NOT)、すべての未解決のリクエストが満たされた後はクライアントを閉じる必要があります。
The Origin Set is unaffected by any alternative services [RFC7838] advertisements made by the server. Advertising an alternative service does not affect whether a server is authoritative.
オリジンセットは、サーバーによって作成された代替サービス[RFC7838]アドバタイズの影響を受けません。代替サービスをアドバタイズしても、サーバーが信頼できるかどうかには影響しません。
This specification adds an entry to the "HTTP/2 Frame Type" registry.
この仕様により、「HTTP / 2フレームタイプ」レジストリにエントリが追加されます。
o Frame Type: ORIGIN
o フレームタイプ:ORIGIN
o Code: 0xc
o コード:0xc
o Specification: RFC 8336
o 仕様:RFC 8336
Clients that blindly trust the ORIGIN frame's contents will be vulnerable to a large number of attacks. See Section 2.4 for mitigations.
ORIGINフレームのコンテンツを盲目的に信頼するクライアントは、多数の攻撃に対して脆弱です。緩和策については、セクション2.4を参照してください。
Relaxing the requirement to consult DNS when determining authority for an origin means that an attacker who possesses a valid certificate no longer needs to be on path to redirect traffic to them; instead of modifying DNS, they need only convince the user to visit another website in order to coalesce connections to the target onto their existing connection.
オリジンの権限を決定するときにDNSを参照する要件を緩和すると、有効な証明書を所有する攻撃者は、トラフィックをリダイレクトするためにパス上にいる必要がなくなります。 DNSを変更する代わりに、ターゲットへの接続を既存の接続に統合するために、ユーザーに別のWebサイトにアクセスするように説得するだけで済みます。
As a result, clients opting not to consult DNS ought to employ some alternative means to establish a high degree of confidence that the certificate is legitimate. For example, clients might skip consulting DNS only if they receive proof of inclusion in a Certificate Transparency log [RFC6962] or if they have a recent Online Certificate Status Protocol (OCSP) response [RFC6960] (possibly using the "status_request" TLS extension [RFC6066]) showing that the certificate was not revoked.
その結果、DNSを参照しないことを選択するクライアントは、証明書が正当であるという高い信頼を確立するために、いくつかの代替手段を採用する必要があります。たとえば、クライアントが証明書の透明性ログ[RFC6962]に含まれていることの証明を受け取った場合、または最近のオンライン証明書ステータスプロトコル(OCSP)応答[RFC6960]がある場合(おそらく「status_request」TLS拡張を使用している場合)、クライアントはDNSの参照をスキップする場合があります。 RFC6066])は、証明書が取り消されなかったことを示しています。
The Origin Set's size is unbounded by this specification and thus could be used by attackers to exhaust client resources. To mitigate this risk, clients can monitor their state commitment and close the connection if it is too high.
Origin Setのサイズはこの仕様に制約されないため、攻撃者がクライアントリソースを使い果たすために使用する可能性があります。このリスクを軽減するために、クライアントは状態のコミットメントを監視し、接続が高すぎる場合は接続を閉じることができます。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/ rfc2119>。
[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, DOI 10.17487/RFC2818, May 2000, <https://www.rfc-editor.org/info/rfc2818>.
[RFC2818] Rescorla、E。、「HTTP Over TLS」、RFC 2818、DOI 10.17487 / RFC2818、2000年5月、<https://www.rfc-editor.org/info/rfc2818>。
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008, <https://www.rfc-editor.org/info/rfc5280>.
[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、DOI 10.17487 / RFC5280、2008年5月、<https://www.rfc-editor.org/info/rfc5280>。
[RFC6066] Eastlake 3rd, D., "Transport Layer Security (TLS) Extensions: Extension Definitions", RFC 6066, DOI 10.17487/RFC6066, January 2011, <https://www.rfc-editor.org/info/rfc6066>.
[RFC6066] Eastlake 3rd、D。、「Transport Layer Security(TLS)Extensions:Extension Definitions」、RFC 6066、DOI 10.17487 / RFC6066、2011年1月、<https://www.rfc-editor.org/info/rfc6066> 。
[RFC6454] Barth, A., "The Web Origin Concept", RFC 6454, DOI 10.17487/RFC6454, December 2011, <https://www.rfc-editor.org/info/rfc6454>.
[RFC6454] Barth、A。、「The Web Origin Concept」、RFC 6454、DOI 10.17487 / RFC6454、2011年12月、<https://www.rfc-editor.org/info/rfc6454>。
[RFC7540] Belshe, M., Peon, R., and M. Thomson, Ed., "Hypertext Transfer Protocol Version 2 (HTTP/2)", RFC 7540, DOI 10.17487/RFC7540, May 2015, <https://www.rfc-editor.org/info/rfc7540>.
[RFC7540] Belshe、M.、Peon、R。、およびM. Thomson、編、「Hypertext Transfer Protocol Version 2(HTTP / 2)」、RFC 7540、DOI 10.17487 / RFC7540、2015年5月、<https:// www.rfc-editor.org/info/rfc7540>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/ rfc8174>。
[RFC6960] Santesson, S., Myers, M., Ankney, R., Malpani, A., Galperin, S., and C. Adams, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP", RFC 6960, DOI 10.17487/RFC6960, June 2013, <https://www.rfc-editor.org/info/rfc6960>.
[RFC6960] Santesson、S.、Myers、M.、Ankney、R.、Malpani、A.、Galperin、S.、and C. Adams、 "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol-OCSP"、RFC 6960、DOI 10.17487 / RFC6960、2013年6月、<https://www.rfc-editor.org/info/rfc6960>。
[RFC6962] Laurie, B., Langley, A., and E. Kasper, "Certificate Transparency", RFC 6962, DOI 10.17487/RFC6962, June 2013, <https://www.rfc-editor.org/info/rfc6962>.
[RFC6962]ローリーB.、ラングレーA.、およびE.キャスパー、「証明書の透明性」、RFC 6962、DOI 10.17487 / RFC6962、2013年6月、<https://www.rfc-editor.org/info/rfc6962 >。
[RFC7230] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing", RFC 7230, DOI 10.17487/RFC7230, June 2014, <https://www.rfc-editor.org/info/rfc7230>.
[RFC7230]フィールディング、R。、エド。およびJ. Reschke編、「Hypertext Transfer Protocol(HTTP / 1.1):Message Syntax and Routing」、RFC 7230、DOI 10.17487 / RFC7230、2014年6月、<https://www.rfc-editor.org/info/ rfc7230>。
[RFC7838] Nottingham, M., McManus, P., and J. Reschke, "HTTP Alternative Services", RFC 7838, DOI 10.17487/RFC7838, April 2016, <https://www.rfc-editor.org/info/rfc7838>.
[RFC7838]ノッティンガム、M。、マクマナス、P.、J。レシュケ、「HTTP代替サービス」、RFC 7838、DOI 10.17487 / RFC7838、2016年4月、<https://www.rfc-editor.org/info/ rfc7838>。
[RFC8288] Nottingham, M., "Web Linking", RFC 8288, DOI 10.17487/RFC8288, October 2017, <https://www.rfc-editor.org/info/rfc8288>.
[RFC8288]ノッティンガム、M。、「Webリンク」、RFC 8288、DOI 10.17487 / RFC8288、2017年10月、<https://www.rfc-editor.org/info/rfc8288>。
The following algorithm illustrates how a client could handle received ORIGIN frames:
次のアルゴリズムは、クライアントが受信したORIGINフレームを処理する方法を示しています。
1. If the client is configured to use a proxy for the connection, ignore the frame and stop processing.
1. 接続にプロキシを使用するようにクライアントが構成されている場合は、フレームを無視して処理を停止します。
2. If the connection is not identified with the "h2" protocol identifier or another protocol that has explicitly opted into this specification, ignore the frame and stop processing.
2. 接続が「h2」プロトコル識別子またはこの仕様に明示的にオプトインした別のプロトコルで識別されない場合、フレームを無視して処理を停止します。
3. If the frame occurs upon any stream except stream 0, ignore the frame and stop processing.
3. フレームがストリーム0以外のストリームで発生する場合、フレームを無視して処理を停止します。
4. If any of the flags 0x1, 0x2, 0x4, or 0x8 are set, ignore the frame and stop processing.
4. フラグ0x1、0x2、0x4、または0x8のいずれかが設定されている場合、フレームを無視して処理を停止します。
5. If no previous ORIGIN frame on the connection has reached this step, initialize the Origin Set as per Section 2.3.
5. 接続の前のORIGINフレームがこのステップに到達していない場合は、セクション2.3に従ってOrigin Setを初期化します。
6. For each "Origin-Entry" in the frame payload:
6. フレームペイロードの「Origin-Entry」ごとに:
1. Parse "ASCII-Origin" as an ASCII serialization of an origin ([RFC6454], Section 6.2), and let the result be "parsed_origin". If parsing fails, skip to the next "Origin-Entry".
1. 「ASCII-Origin」をオリジンのASCIIシリアル化として解析し([RFC6454]、セクション6.2)、結果を「parsed_origin」にします。解析に失敗した場合は、次の「Origin-Entry」に進んでください。
2. Add "parsed_origin" to the Origin Set.
2. Origindセットに「parsed_origin」を追加します。
The ORIGIN frame allows a server to indicate for which origins a given connection ought be used. The set of origins advertised using this mechanism is under control of the server; servers are not obligated to use it or to advertise all origins that they might be able to answer a request for.
ORIGINフレームを使用すると、サーバーは、特定の接続を使用する起点を示すことができます。このメカニズムを使用してアドバタイズされるオリジンのセットは、サーバーの制御下にあります。サーバーは、それを使用したり、要求に応答できる可能性のあるすべての発信元をアドバタイズしたりする義務はありません。
For example, it can be used to inform the client that the connection is to only be used for the SNI-based origin, by sending an empty ORIGIN frame. Or, a larger number of origins can be indicated by including a payload.
たとえば、空のORIGINフレームを送信することで、接続がSNIベースのオリジンにのみ使用されることをクライアントに通知するために使用できます。または、ペイロードを含めることで、より多くのオリジンを示すことができます。
Generally, this information is most useful to send before sending any part of a response that might initiate a new connection; for example, "Link" response header fields [RFC8288], or links in the response body.
一般に、この情報は、新しい接続を開始する可能性のある応答の一部を送信する前に送信するのに最も役立ちます。たとえば、「Link」応答ヘッダーフィールド[RFC8288]、または応答本文のリンク。
Therefore, the ORIGIN frame ought be sent as soon as possible on a connection, ideally before any HEADERS or PUSH_PROMISE frames.
したがって、ORIGINフレームは、理想的にはHEADERSまたはPUSH_PROMISEフレームの前に、接続でできるだけ早く送信する必要があります。
However, if it's desirable to associate a large number of origins with a connection, doing so might introduce end-user-perceived latency, due to their size. As a result, it might be necessary to select a "core" set of origins to send initially, and expand the set of origins the connection is used for with subsequent ORIGIN frames later (e.g., when the connection is idle).
ただし、多数のオリジンを接続に関連付けることが望ましい場合、そのようにすると、サイズが原因で、エンドユーザーが感じる待ち時間が発生する可能性があります。その結果、最初に送信する「コア」オリジンのセットを選択して、後で接続が使用されるオリジンのセットを拡張する必要があります(たとえば、接続がアイドル状態の場合)。
That said, senders are encouraged to include as many origins as practical within a single ORIGIN frame; clients need to make decisions about creating connections on the fly, and if the Origin Set is split across many frames, their behavior might be suboptimal.
とはいえ、送信者は、1つのORIGINフレーム内にできるだけ多くのオリジンを含めることをお勧めします。クライアントはオンザフライで接続を作成するかどうかを決定する必要があります。OriginSetが多数のフレームに分割されている場合、クライアントの動作は最適ではない可能性があります。
Senders take note that, as per Section 4, Step 5, of [RFC6454], the values in an ORIGIN header need to be case-normalized before serialization.
送信者は、[RFC6454]のセクション4、ステップ5に従って、シリアライズする前にORIGINヘッダーの値を大文字と小文字の正規化する必要があることに注意してください。
Finally, servers that host alternative services [RFC7838] will need to explicitly advertise their origins when sending ORIGIN, because the default contents of the Origin Set (as per Section 2.3) do not contain any alternative services' origins, even if they have been used previously on the connection.
最後に、代替サービス[RFC7838]をホストするサーバーは、ORIGINを送信するときに、その起源を明示的にアドバタイズする必要があります。これは、オリジンセットのデフォルトのコンテンツ(セクション2.3に従って)に代替サービスのオリジンが含まれていないためです。以前に接続で。
Authors' Addresses
著者のアドレス
Mark Nottingham
マーク・ノッティンガム
Email: mnot@mnot.net
URI: https://www.mnot.net/
Erik Nygren Akamai Technologies
Erik Nygren Akamai Technologies
Email: erik+ietf@nygren.org