[要約] RFC 8630は、RPKIの信頼アンカーロケータに関する標準仕様です。その目的は、RPKIの信頼アンカーの位置情報を提供し、インターネット上のセキュリティを向上させることです。

Internet Engineering Task Force (IETF)                         G. Huston
Request for Comments: 8630                                         APNIC
Obsoletes: 7730                                                S. Weiler
Category: Standards Track                                        W3C/MIT
ISSN: 2070-1721                                            G. Michaelson
                                                                   APNIC
                                                                 S. Kent
                                                            Unaffiliated
                                                          T. Bruijnzeels
                                                              NLnet Labs
                                                             August 2019
        

Resource Public Key Infrastructure (RPKI) Trust Anchor Locator

Resource Public Key Infrastructure(RPKI)Trust Anchor Locator

Abstract

概要

This document defines a Trust Anchor Locator (TAL) for the Resource Public Key Infrastructure (RPKI). The TAL allows Relying Parties in the RPKI to download the current Trust Anchor (TA) Certification Authority (CA) certificate from one or more locations and verify that the key of this self-signed certificate matches the key on the TAL. Thus, Relying Parties can be configured with TA keys but can allow these TAs to change the content of their CA certificate. In particular, it allows TAs to change the set of IP Address Delegations and/or Autonomous System Identifier Delegations included in the extension(s) (RFC 3779) of their certificate.

このドキュメントでは、Resource Public Key Infrastructure(RPKI)のTrust Anchor Locator(TAL)を定義しています。 TALを使用すると、RPKIの証明書利用者は1つ以上の場所から現在のトラストアンカー(TA)証明機関(CA)証明書をダウンロードし、この自己署名証明書のキーがTALのキーと一致することを確認できます。したがって、依拠当事者はTAキーを使用して構成できますが、これらのTAがCA証明書の内容を変更できるようにすることができます。特に、TAは、証明書の拡張子(RFC 3779)に含まれるIPアドレス委任や自律システム識別子委任のセットを変更できます。

This document obsoletes the previous definition of the TAL as provided in RFC 7730 by adding support for Uniform Resource Identifiers (URIs) (RFC 3986) that use HTTP over TLS (HTTPS) (RFC 7230) as the scheme.

このドキュメントは、HTTP over TLS(HTTPS)(RFC 7230)をスキームとして使用するUniform Resource Identifiers(URIs)(RFC 3986)のサポートを追加することにより、RFC 7730で提供されているTALの以前の定義を廃止します。

Status of This Memo

本文書の状態

This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 7841のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8630.

このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8630で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2019 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2019 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents

目次

   1. Introduction ....................................................2
      1.1. Terminology ................................................3
      1.2. Changes from RFC 7730 ......................................3
   2. Trust Anchor Locator ............................................3
      2.1. Trust Anchor Locator Motivation ............................3
      2.2. Trust Anchor Locator File Format ...........................4
      2.3. TAL and TA Certificate Considerations ......................4
      2.4. Example ....................................................6
   3. Relying Party Use ...............................................6
   4. URI Scheme Considerations .......................................7
   5. Security Considerations .........................................8
   6. IANA Considerations .............................................8
   7. References ......................................................8
      7.1. Normative References .......................................8
      7.2. Informative References ....................................10
   Acknowledgements ..................................................10
   Authors' Addresses ................................................11
        
1. Introduction
1. はじめに

This document defines a Trust Anchor Locator (TAL) for the Resource Public Key Infrastructure (RPKI) [RFC6480]. This format may be used to distribute Trust Anchor (TA) material using a mix of out-of-band and online means. Procedures used by Relying Parties (RPs) to verify RPKI signed objects SHOULD support this format to facilitate interoperability between creators of TA material and RPs. This document obsoletes [RFC7730] by adding support for Uniform Resource Identifiers (URIs) [RFC3986] that use HTTP over TLS (HTTPS) [RFC7230] as the scheme.

このドキュメントでは、Resource Public Key Infrastructure(RPKI)[RFC6480]のTrust Anchor Locator(TAL)を定義しています。この形式は、帯域外手段とオンライン手段を組み合わせてTrust Anchor(TA)資料を配布するために使用できます。依拠当事者(RP)がRPKI署名オブジェクトを検証するために使用する手順は、TAマテリアルの作成者とRPの間の相互運用性を促進するためにこの形式をサポートする必要があります(SHOULD)。このドキュメントは、HTTP over TLS(HTTPS)[RFC7230]をスキームとして使用するUniform Resource Identifier(URI)[RFC3986]のサポートを追加することにより、[RFC7730]を廃止します。

1.1. Terminology
1.1. 用語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.

キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、「OPTIONALこのドキュメントの「」は、BCP 14 [RFC2119] [RFC8174]で説明されているように解釈されます。

1.2. Changes from RFC 7730
1.2. RFC 7730からの変更

The TAL format defined in this document differs from the definition in [RFC7730] in that:

このドキュメントで定義されているTAL形式は、次の点で[RFC7730]の定義とは異なります。

o it allows for the use of the HTTPS scheme in URIs [RFC7230], and

o URIでHTTPSスキームを使用できる[RFC7230]、および

o it allows for the inclusion of an optional comment section.

o オプションのコメントセクションを含めることができます。

Note that current RPs may not support this new format yet. Therefore, it is RECOMMENDED that a TA operator maintain a TAL file as defined in [RFC7730] for a time as well, until they are satisfied that RP tooling has been updated.

現在のRPはこの新しい形式をまだサポートしていない可能性があることに注意してください。したがって、RPツーリングが更新されたことに満足するまで、TAオペレーターが[RFC7730]で定義されているTALファイルをしばらく維持することをお勧めします。

2. Trust Anchor Locator
2. トラストアンカーロケーター
2.1. Trust Anchor Locator Motivation
2.1. トラストアンカーロケーターの動機

This document does not propose a new format for TA material. A TA in the RPKI is represented by a self-signed X.509 Certification Authority (CA) certificate, a format commonly used in PKIs and widely supported by RP software. This document specifies a format for data used to retrieve and verify the authenticity of a TA in a very simple fashion. That data is referred to as the TAL.

このドキュメントでは、TA資料の新しい形式を提案していません。 RPKIのTAは、PKIで一般的に使用され、RPソフトウェアで広くサポートされている形式である自己署名X.509証明機関(CA)証明書によって表されます。このドキュメントは、非常に単純な方法でTAの信頼性を取得および検証するために使用されるデータの形式を指定します。そのデータはTALと呼ばれます。

The motivation for defining the TAL is to enable selected data in the TA to change, without needing to redistribute the TA per se.

TALを定義する動機は、TA自体を再配布する必要なく、TAで選択したデータを変更できるようにすることです。

In the RPKI, certificates contain one or more extensions [RFC3779] that can contain a set of IP Address Delegations and/or Autonomous System Identifier Delegations. In this document, we refer to these delegations as the Internet Number Resources (INRs) contained in an RPKI certificate.

RPKIでは、証明書に1つ以上の拡張[RFC3779]が含まれ、IPアドレス委任や自律システム識別子委任のセットを含めることができます。このドキュメントでは、これらの委任をRPKI証明書に含まれるインターネット番号リソース(INR)と呼びます。

The set of INRs associated with an entity acting as a TA is likely to change over time. Thus, if one were to use the common PKI convention of distributing a TA to RPs in a secure fashion, then this procedure would need to be repeated whenever the INR set for the entity acting as a TA changed. By distributing the TAL (in a secure fashion) instead of distributing the TA, this problem is avoided, i.e., the TAL is constant so long as the TA's public key and its location do not change.

TAとして機能するエンティティに関連付けられたINRのセットは、時間とともに変化する可能性があります。したがって、TAをRPに安全に配布する一般的なPKI規則を使用する場合、TAとして機能するエンティティに設定されたINRが変更されるたびに、この手順を繰り返す必要があります。 TAを配布する代わりにTALを(安全な方法で)配布することにより、この問題は回避されます。つまり、TAの公開鍵とその場所が変更されない限り、TALは一定です。

The TAL is analogous to the TrustAnchorInfo data structure specified in [RFC5914], which is on the Standards Track. That specification could be used to represent the TAL, if one defined an rsync or HTTPS URI extension for that data structure. However, the TAL format was adopted by RPKI implementors prior to the PKIX TA work, and the RPKI implementor community has elected to utilize the TAL format rather than define the requisite extension. The community also prefers the simplicity of the ASCII encoding of the TAL, versus the binary (ASN.1) encoding for TrustAnchorInfo.

TALは、[RFC5914]で指定されているTrustAnchorInfoデータ構造に類似しており、Standards Trackにあります。そのデータ構造にrsyncまたはHTTPS URI拡張を定義した場合、その仕様を使用してTALを表すことができます。ただし、TAL形式はPKIX TA作業の前にRPKI実装者によって採用され、RPKI実装者コミュニティは、必要な拡張を定義するのではなく、TAL形式を利用することを選択しました。コミュニティは、TrustAnchorInfoのバイナリ(ASN.1)エンコーディングではなく、TALのASCIIエンコーディングのシンプルさも好みます。

2.2. Trust Anchor Locator File Format
2.2. トラストアンカーロケーターのファイル形式

In this document, we define a TA URI as a URI that can be used to retrieve a current TA certificate. This URI MUST be either an rsync URI [RFC5781] or an HTTPS URI [RFC7230].

このドキュメントでは、現在のTA証明書を取得するために使用できるURIとしてTA URIを定義します。このURIは、rsync URI [RFC5781]またはHTTPS URI [RFC7230]でなければなりません。

The TAL is an ordered sequence of:

TALは、次の順序のシーケンスです。

1. an optional comment section consisting of one or more lines each starting with the "#" character, followed by human-readable informational UTF-8 text, conforming to the restrictions defined in Section 2 of [RFC5198], and ending with a line break,

1. [RFC5198]のセクション2で定義されている制限に従い、「#」文字で始まり、その後に人間が読める情報UTF-8テキストが続き、改行で終わる1つ以上の行で構成されるオプションのコメントセクション、

2. a URI section that is comprised of one or more ordered lines, each containing a TA URI, and ending with a line break,

2. それぞれがTA URIを含み、改行で終わる、1つ以上の順序付けられた行で構成されるURIセクション、

3. a line break, and

3. 改行、および

4. a subjectPublicKeyInfo [RFC5280] in DER format [X.509], encoded in base64 (see Section 4 of [RFC4648]). To avoid long lines, line breaks MAY be inserted into the base64-encoded string.

4. base64でエンコードされた、DER形式[X.509]のsubjectPublicKeyInfo [RFC5280]([RFC4648]のセクション4を参照)。長い行を回避するために、base64でエンコードされた文字列に改行が挿入される場合があります。

Note that line breaks in this file can use either "<CRLF>" or "<LF>".

このファイルの改行では、「<CRLF>」または「<LF>」を使用できることに注意してください。

2.3. TAL and TA Certificate Considerations
2.3. TALおよびTA証明書に関する考慮事項

Each TA URI in the TAL MUST reference a single object. It MUST NOT reference a directory or any other form of collection of objects. The referenced object MUST be a self-signed CA certificate that conforms to the RPKI certificate profile [RFC6487]. This certificate is the TA in certification path discovery [RFC4158] and validation [RFC5280] [RFC3779].

TALの各TA URIは、単一のオブジェクトを参照する必要があります。ディレクトリまたはその他の形式のオブジェクトのコレクションを参照してはなりません。参照されるオブジェクトは、RPKI証明書プロファイル[RFC6487]に準拠する自己署名CA証明書である必要があります。この証明書は、証明書パス検出[RFC4158]および検証[RFC5280] [RFC3779]のTAです。

The validity interval of this TA is chosen such that (1) the "notBefore" time predates the moment that this certificate is published and (2) the "notAfter" time is after the planned time of reissuance of this certificate.

このTAの有効期間は、(1)「notBefore」時間がこの証明書が公開される瞬間よりも前になり、(2)「notAfter」時間がこの証明書の再発行の予定時間より後になるように選択されます。

The INR extension(s) of this TA MUST contain a non-empty set of number resources. It MUST NOT use the "inherit" form of the INR extension(s). The INR set described in this certificate is the set of number resources for which the issuing entity is offering itself as a putative TA in the RPKI [RFC6480].

このTAのINR拡張には、空でない一連の数値リソースが含まれている必要があります。それは、INR拡張の「継承」形式を使用してはなりません。この証明書で説明されているINRセットは、発行元エンティティがRPKI [RFC6480]で推定TAとして提供している一連の番号リソースです。

The public key used to verify the TA MUST be the same as the subjectPublicKeyInfo in the CA certificate and in the TAL.

TAの検証に使用される公開鍵は、CA証明書およびTALのsubjectPublicKeyInfoと同じでなければなりません。

The TA MUST contain a stable key that does not change when the certificate is reissued due to changes in the INR extension(s), when the certificate is renewed prior to expiration.

TAには、INR拡張の変更のために証明書が再発行されたときに、有効期限が切れる前に証明書が更新されたときに変更されない安定した鍵が含まれている必要があります。

Because the public key in the TAL and the TA MUST be stable, this motivates operation of that CA in an offline mode. In that case, a subordinate CA certificate containing the same INRs, or, in theory, any subset of INRs, can be issued for online operations. This allows the entity that issues the TA to keep the corresponding private key of this certificate offline, while issuing all relevant child certificates under the immediate subordinate CA. This measure also allows the Certificate Revocation List (CRL) issued by that entity to be used to revoke the subordinate CA certificate in the event of suspected key compromise of this online operational key pair that is potentially more vulnerable.

TALとTAの公開鍵は安定している必要があるため、これにより、オフラインモードでのCAの運用が促進されます。その場合、同じINR、または理論的にはINRのサブセットを含む下位CA証明書をオンライン操作で発行できます。これにより、TAを発行するエンティティは、この証明書の対応する秘密キーをオフラインに保ちながら、直接の下位CAの下ですべての関連する子証明書を発行できます。また、この対策により、そのエンティティによって発行された証明書失効リスト(CRL)を使用して、潜在的に脆弱であるこのオンライン操作キーペアのキー侵害の疑いがある場合に、下位CA証明書を取り消すことができます。

The TA MUST be published at a stable URI. When the TA is reissued for any reason, the replacement CA certificate MUST be accessible using the same URI.

TAは安定したURIで公開する必要があります。何らかの理由でTAが再発行された場合、同じURIを使用して代替CA証明書にアクセスできる必要があります。

Because the TA is a self-signed certificate, there is no corresponding CRL that can be used to revoke it, nor is there a manifest [RFC6486] that lists this certificate.

TAは自己署名証明書であるため、それを取り消すために使用できる対応するCRLも、この証明書をリストするマニフェスト[RFC6486]もありません。

If an entity wishes to withdraw a self-signed CA certificate as a putative TA, for any reason, including key rollover, the entity MUST remove the object from the location referenced in the TAL.

エンティティがキーロールオーバーを含む何らかの理由で自己署名CA証明書を推定TAとして撤回したい場合、エンティティはTALで参照されている場所からオブジェクトを削除する必要があります。

Where the TAL contains two or more TA URIs, the same self-signed CA certificate MUST be found at each referenced location. In order to increase operational resilience, it is RECOMMENDED that (1) the domain name parts of each of these URIs resolve to distinct IP addresses that are used by a diverse set of repository publication points and (2) these IP addresses be included in distinct Route Origin Authorization (ROA) objects signed by different CAs.

TALに2つ以上のTA URIが含まれている場合、同じ自己署名CA証明書が、参照されている各場所で検出される必要があります。運用の回復力を高めるために、(1)これらの各URIのドメイン名部分は、さまざまなリポジトリ公開ポイントのセットで使用される個別のIPアドレスに解決され、(2)これらのIPアドレスは個別に含まれることが推奨されますさまざまなCAによって署名されたRoute Origin Authorization(ROA)オブジェクト。

2.4. Example
2.4. 例
         # This TAL is intended for documentation purposes only.
         # Do not attempt to use this in a production setting.
         rsync://rpki.example.org/rpki/hedgehog/root.cer
         https://rpki.example.org/rpki/hedgehog/root.cer
        
         MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAovWQL2lh6knDx
         GUG5hbtCXvvh4AOzjhDkSHlj22gn/1oiM9IeDATIwP44vhQ6L/xvuk7W6
         Kfa5ygmqQ+xOZOwTWPcrUbqaQyPNxokuivzyvqVZVDecOEqs78q58mSp9
         nbtxmLRW7B67SJCBSzfa5XpVyXYEgYAjkk3fpmefU+AcxtxvvHB5OVPIa
         BfPcs80ICMgHQX+fphvute9XLxjfJKJWkhZqZ0v7pZm2uhkcPx1PMGcrG
         ee0WSDC3fr3erLueagpiLsFjwwpX6F+Ms8vqz45H+DKmYKvPSstZjCCq9
         aJ0qANT9OtnfSDOS+aLRPjZryCNyvvBHxZXqj5YCGKtwIDAQAB
        
3. Relying Party Use
3. 依拠当事者の使用

In order to use the TAL to retrieve and validate a (putative) TA, an RP SHOULD:

TALを使用して(推定)TAを取得および検証するために、RPは以下を行う必要があります。

1. Retrieve the object referenced by (one of) the TA URI(s) contained in the TAL.

1. TALに含まれるTA URIの(1つ)によって参照されるオブジェクトを取得します。

2. Confirm that the retrieved object is a current, self-signed RPKI CA certificate that conforms to the profile as specified in [RFC6487].

2. 取得したオブジェクトが、[RFC6487]で指定されているプロファイルに準拠する現在の自己署名RPKI CA証明書であることを確認します。

3. Confirm that the public key in the TAL matches the public key in the retrieved object.

3. TALの公開鍵が、取得したオブジェクトの公開鍵と一致することを確認します。

4. Perform other checks, as deemed appropriate (locally), to ensure that the RP is willing to accept the entity publishing this self-signed CA certificate to be a TA. These tests apply to the validity of attestations made in the context of the RPKI relating to all resources described in the INR extension(s) of this certificate.

4. 適切と思われる(ローカルで)他のチェックを実行して、RPがこの自己署名CA証明書を公開するエンティティをTAとして受け入れる用意があることを確認します。これらのテストは、この証明書のINR拡張に記載されているすべてのリソースに関連するRPKIのコンテキストで行われた証明の有効性に適用されます。

An RP SHOULD perform these functions for each instance of a TAL that it is holding for this purpose every time the RP performs a resynchronization across the local repository cache. In any case, an RP also SHOULD perform these functions prior to the expiration of the locally cached copy of the retrieved TA referenced by the TAL.

RPは、RPがローカルリポジトリキャッシュ全体で再同期を実行するたびに、この目的のために保持しているTALのインスタンスごとにこれらの機能を実行する必要があります(SHOULD)。いずれの場合でも、RPは、TALによって参照される取得されたTAのローカルにキャッシュされたコピーの有効期限が切れる前に、これらの機能を実行する必要があります(SHOULD)。

In the case where a TAL contains multiple TA URIs, an RP MAY use a locally defined preference rule to select the URI to retrieve the self-signed RPKI CA certificate that is to be used as a TA. Some examples are:

TALに複数のTA URIが含まれている場合、RPはローカルで定義された設定ルールを使用してURIを選択し、TAとして使用される自己署名RPKI CA証明書を取得できます。次に例を示します。

o Using the order provided in the TAL

o TALで提供される注文を使用する

o Selecting the TA URI randomly from the available list

o 利用可能なリストからランダムにTA URIを選択する

o Creating a prioritized list of URIs based on RP-specific parameters, such as connection establishment delay

o 接続確立遅延などのRP固有のパラメータに基づいて、URIの優先リストを作成する

If the connection to the preferred URI fails or the retrieved CA certificate public key does not match the TAL public key, the RP SHOULD retrieve the CA certificate from the next URI, according to the local preference ranking of URIs.

優先URIへの接続が失敗した場合、または取得したCA証明書の公開鍵がTAL公開鍵と一致しない場合、RPは、URIのローカル優先順位に従って、次のURIからCA証明書を取得する必要があります(SHOULD)。

4. URI Scheme Considerations
4. URIスキームの考慮事項

Please note that the RSYNC protocol provides neither transport security nor any means by which the RP can validate that they are connected to the proper host. Therefore, it is RECOMMENDED that HTTPS be used as the preferred scheme.

RSYNCプロトコルは、トランスポートセキュリティも、RPが適切なホストに接続されていることをRPが検証できる手段も提供しないことに注意してください。したがって、優先スキームとしてHTTPSを使用することをお勧めします。

Note that, although a Man in the Middle (MITM) cannot produce a CA certificate that would be considered valid according to the process described in Section 3, this type of attack can prevent the RP from learning about an updated CA certificate.

Man in the Middle(MITM)は、セクション3で説明されているプロセスに従って有効と見なされるCA証明書を生成できないが、このタイプの攻撃は、RPが更新されたCA証明書を学習するのを妨げることに注意してください。

RPs MUST do TLS certificate and host name validation when they fetch a CA certificate using an HTTPS URI on a TAL. RPs SHOULD log any TLS certificate or host name validation issues found so that an operator can investigate the cause.

RPは、TALでHTTPS URIを使用してCA証明書をフェッチするときに、TLS証明書とホスト名検証を実行する必要があります。 RPは、オペレーターが原因を調査できるように、見つかったTLS証明書またはホスト名検証の問題をログに記録する必要があります(SHOULD)。

It is RECOMMENDED that RPs and Repository Servers follow the Best Current Practices outlined in [RFC7525] on the use of HTTPS [RFC7230]. RPs SHOULD do TLS certificate and host name validation using subjectAltName dNSName identities as described in [RFC6125]. The rules and guidelines defined in [RFC6125] apply here, with the following considerations:

RPとリポジトリサーバーは、HTTPS [RFC7230]の使用に関して[RFC7525]で概説されている現在のベストプラクティスに従うことをお勧めします。 [RFC6125]で説明されているように、RPはsubjectAltName dNSName IDを使用してTLS証明書とホスト名の検証を行う必要があります(SHOULD)。 [RFC6125]で定義されているルールとガイドラインは、次の点を考慮してここに適用されます。

o RPs and Repository Servers SHOULD support the DNS-ID identifier type. The DNS-ID identifier type SHOULD be present in Repository Server certificates.

o RPおよびリポジトリサーバーは、DNS-ID識別子タイプをサポートする必要があります(SHOULD)。 DNS-ID識別子タイプは、リポジトリサーバー証明書に存在する必要があります(SHOULD)。

o DNS names in Repository Server certificates SHOULD NOT contain the wildcard character "*".

o リポジトリサーバー証明書のDNS名には、ワイルドカード文字「*」を含めないでください。

o This protocol does not require the use of SRV-IDs.

o このプロトコルでは、SRV-IDを使用する必要はありません。

o This protocol does not require the use of URI-IDs.

o このプロトコルでは、URI-IDを使用する必要はありません。

5. Security Considerations
5. セキュリティに関する考慮事項

Compromise of a TA private key permits unauthorized parties to masquerade as a TA, with potentially severe consequences. Reliance on an inappropriate or incorrect TA has similar potentially severe consequences.

TA秘密鍵の侵害により、権限のない当事者がTAになりすますことが可能になり、重大な結果を招く可能性があります。不適切または不適切なTAへの依存は、同様の潜在的に深刻な結果をもたらします。

This TAL does not directly provide a list of resources covered by the referenced self-signed CA certificate. Instead, the RP is referred to the TA itself and the INR extension(s) within this certificate. This provides necessary operational flexibility, but it also allows the certificate issuer to claim to be authoritative for any resource. RPs should either (1) have great confidence in the issuers of such certificates that they are configuring as TAs or (2) issue their own self-signed certificate as a TA and, in doing so, impose constraints on the subordinate certificates.

このTALは、参照されている自己署名CA証明書によってカバーされるリソースのリストを直接提供しません。代わりに、RPはこの証明書内のTA自体およびINR拡張機能と呼ばれます。これにより、必要な運用の柔軟性が提供されますが、証明書の発行者が任意のリソースに対して信頼できると主張することもできます。 RPは、(1)TAとして構成している証明書の発行者に大きな信頼を置くか、(2)独自の自己署名証明書をTAとして発行し、その際に下位の証明書に制約を課す必要があります。

6. IANA Considerations
6. IANAに関する考慮事項

This document has no IANA actions.

このドキュメントにはIANAアクションはありません。

7. References
7. 参考文献
7.1. Normative References
7.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/ rfc2119>。

[RFC3779] Lynn, C., Kent, S., and K. Seo, "X.509 Extensions for IP Addresses and AS Identifiers", RFC 3779, DOI 10.17487/RFC3779, June 2004, <https://www.rfc-editor.org/info/rfc3779>.

[RFC3779] Lynn、C.、Kent、S。、およびK. Seo、「X.509 Extensions for IP Addresses and AS Identifiers」、RFC 3779、DOI 10.17487 / RFC3779、2004年6月、<https://www.rfc -editor.org/info/rfc3779>。

[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, DOI 10.17487/RFC3986, January 2005, <https://www.rfc-editor.org/info/rfc3986>.

[RFC3986] Berners-Lee、T.、Fielding、R。、およびL. Masinter、「Uniform Resource Identifier(URI):Generic Syntax」、STD 66、RFC 3986、DOI 10.17487 / RFC3986、2005年1月、<https:/ /www.rfc-editor.org/info/rfc3986>。

[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006, <https://www.rfc-editor.org/info/rfc4648>.

[RFC4648] Josefsson、S。、「The Base16、Base32、およびBase64データエンコーディング」、RFC 4648、DOI 10.17487 / RFC4648、2006年10月、<https://www.rfc-editor.org/info/rfc4648>。

[RFC5198] Klensin, J. and M. Padlipsky, "Unicode Format for Network Interchange", RFC 5198, DOI 10.17487/RFC5198, March 2008, <https://www.rfc-editor.org/info/rfc5198>.

[RFC5198] Klensin、J。およびM. Padlipsky、「Unicode Format for Network Interchange」、RFC 5198、DOI 10.17487 / RFC5198、2008年3月、<https://www.rfc-editor.org/info/rfc5198>。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008, <https://www.rfc-editor.org/info/rfc5280>.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、DOI 10.17487 / RFC5280、2008年5月、<https://www.rfc-editor.org/info/rfc5280>。

[RFC5781] Weiler, S., Ward, D., and R. Housley, "The rsync URI Scheme", RFC 5781, DOI 10.17487/RFC5781, February 2010, <https://www.rfc-editor.org/info/rfc5781>.

[RFC5781] Weiler、S.、Ward、D。、およびR. Housley、「The rsync URI Scheme」、RFC 5781、DOI 10.17487 / RFC5781、2010年2月、<https://www.rfc-editor.org/info / rfc5781>。

[RFC6125] Saint-Andre, P. and J. Hodges, "Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)", RFC 6125, DOI 10.17487/RFC6125, March 2011, <https://www.rfc-editor.org/info/rfc6125>.

[RFC6125] Saint-Andre、P。およびJ. Hodges、「トランスポート層セキュリティ(TLS)のコンテキストでX.​​509(PKIX)証明書を使用したインターネット公開鍵インフラストラクチャ内のドメインベースのアプリケーションサービスIDの表現と検証」、 RFC 6125、DOI 10.17487 / RFC6125、2011年3月、<https://www.rfc-editor.org/info/rfc6125>。

[RFC6480] Lepinski, M. and S. Kent, "An Infrastructure to Support Secure Internet Routing", RFC 6480, DOI 10.17487/RFC6480, February 2012, <https://www.rfc-editor.org/info/rfc6480>.

[RFC6480] Lepinski、M。およびS. Kent、「An Secure Infrastructure to Support Internet Routing」、RFC 6480、DOI 10.17487 / RFC6480、2012年2月、<https://www.rfc-editor.org/info/rfc6480> 。

[RFC6487] Huston, G., Michaelson, G., and R. Loomans, "A Profile for X.509 PKIX Resource Certificates", RFC 6487, DOI 10.17487/RFC6487, February 2012, <https://www.rfc-editor.org/info/rfc6487>.

[RFC6487] Huston、G.、Michaelson、G。、およびR. Loomans、「X.509 PKIXリソース証明書のプロファイル」、RFC 6487、DOI 10.17487 / RFC6487、2012年2月、<https://www.rfc- editor.org/info/rfc6487>。

[RFC7230] Fielding, R., Ed. and J. Reschke, Ed., "Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing", RFC 7230, DOI 10.17487/RFC7230, June 2014, <https://www.rfc-editor.org/info/rfc7230>.

[RFC7230]フィールディング、R。、エド。およびJ. Reschke編、「Hypertext Transfer Protocol(HTTP / 1.1):Message Syntax and Routing」、RFC 7230、DOI 10.17487 / RFC7230、2014年6月、<https://www.rfc-editor.org/info/ rfc7230>。

[RFC7525] Sheffer, Y., Holz, R., and P. Saint-Andre, "Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)", BCP 195, RFC 7525, DOI 10.17487/RFC7525, May 2015, <https://www.rfc-editor.org/info/rfc7525>.

[RFC7525] Sheffer、Y.、Holz、R。、およびP. Saint-Andre、「Transport Layer Security(TLS)およびDatagram Transport Layer Security(DTLS)の安全な使用に関する推奨事項」、BCP 195、RFC 7525、DOI 10.17487 / RFC7525、2015年5月、<https://www.rfc-editor.org/info/rfc7525>。

[RFC7730] Huston, G., Weiler, S., Michaelson, G., and S. Kent, "Resource Public Key Infrastructure (RPKI) Trust Anchor Locator", RFC 7730, DOI 10.17487/RFC7730, January 2016, <https://www.rfc-editor.org/info/rfc7730>.

[RFC7730] Huston、G.、Weiler、S.、Michaelson、G。、およびS. Kent、「Resource Public Key Infrastructure(RPKI)Trust Anchor Locator」、RFC 7730、DOI 10.17487 / RFC7730、2016年1月、<https: //www.rfc-editor.org/info/rfc7730>。

[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.

[RFC8174] Leiba、B。、「RFC 2119キーワードの大文字と小文字のあいまいさ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/ rfc8174>。

[X.509] ITU-T, "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks", ITU-T Recommendation X.509, October 2016, <https://www.itu.int/rec/T-REC-X.509>.

[X.509] ITU-T、「情報技術-オープンシステムインターコネクション-ディレクトリ:公開鍵と属性証明書フレームワーク」、ITU-T勧告X.509、2016年10月、<https://www.itu.int /rec/T-REC-X.509>。

7.2. Informative References
7.2. 参考引用

[RFC4158] Cooper, M., Dzambasow, Y., Hesse, P., Joseph, S., and R. Nicholas, "Internet X.509 Public Key Infrastructure: Certification Path Building", RFC 4158, DOI 10.17487/RFC4158, September 2005, <https://www.rfc-editor.org/info/rfc4158>.

[RFC4158] Cooper、M.、Dzambasow、Y.、Hesse、P.、Joseph、S。、およびR. Nicholas、「Internet X.509 Public Key Infrastructure:Certification Path Building」、RFC 4158、DOI 10.17487 / RFC4158、 2005年9月、<https://www.rfc-editor.org/info/rfc4158>。

[RFC5914] Housley, R., Ashmore, S., and C. Wallace, "Trust Anchor Format", RFC 5914, DOI 10.17487/RFC5914, June 2010, <https://www.rfc-editor.org/info/rfc5914>.

[RFC5914] Housley、R.、Ashmore、S。、およびC. Wallace、「Trust Anchor Format」、RFC 5914、DOI 10.17487 / RFC5914、2010年6月、<https://www.rfc-editor.org/info/ rfc5914>。

[RFC6486] Austein, R., Huston, G., Kent, S., and M. Lepinski, "Manifests for the Resource Public Key Infrastructure (RPKI)", RFC 6486, DOI 10.17487/RFC6486, February 2012, <https://www.rfc-editor.org/info/rfc6486>.

[RFC6486] Austein、R.、Huston、G.、Kent、S。、およびM. Lepinski、「Manifests for the Resource Public Key Infrastructure(RPKI)」、RFC 6486、DOI 10.17487 / RFC6486、2012年2月、<https: //www.rfc-editor.org/info/rfc6486>。

Acknowledgements

謝辞

This approach to TA material was originally described by Robert Kisteleki.

TA素材へのこのアプローチは、もともとRobert Kistelekiによって記述されました。

The authors acknowledge the contributions of Rob Austein and Randy Bush, who assisted with drafting this document and with helpful review comments.

著者は、このドキュメントの草案作成および有用なレビューコメントを支援してくれたRob AusteinおよびRandy Bushの貢献を認めます。

The authors acknowledge the work of Roque Gagliano, Terry Manderson, and Carlos Martinez-Cagnazzo in developing the ideas behind the inclusion of multiple URIs in the TAL.

著者は、TALに複数のURIを含めることの背後にあるアイデアを開発した、Roque Gagliano、Terry Manderson、およびCarlos Martinez-Cagnazzoの業績を認めています。

The authors acknowledge Job Snijders for suggesting the inclusion of comments at the start of the TAL.

著者は、TALの冒頭にコメントを含めることを提案したJob Snijdersを認めています。

Authors' Addresses

著者のアドレス

Geoff Huston APNIC

ジェフ・ヒューストンAPNIC

   Email: gih@apnic.net
   URI:   https://www.apnic.net
        

Samuel Weiler W3C/MIT

サミュエルワイラーW3C / MIT

   Email: weiler@csail.mit.edu
        

George Michaelson APNIC

ジョージ・マイケルソンAPNIC

   Email: ggm@apnic.net
   URI:   https://www.apnic.net
        

Stephen Kent Unaffiliated

スティーブンケント無関係

   Email: kent@alum.mit.edu
        

Tim Bruijnzeels NLnet Labs

Tim Bruijnzeels NLnet Labs

   Email: tim@nlnetlabs.nl
   URI:   https://www.nlnetlabs.nl