https://lepidum.co.jp/ Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.

IETF91 Honoluluhttp関連WGレポート

株式会社レピダム

前田薫 (@mad_p)

IETF91報告会 2014/12/19

IETF91報告会2014/12/19

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Agenda

自己紹介

httpbis WG

httpauth WG

IETF91

Honolulu, HI

2014/11/09-14

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

自己紹介

名前 前田薫

所属 株式会社レピダムシニアプログラママネージャ

コミュニティー活動 Lightweight Language

Identity Conference

http2勉強会

業務領域

認証・認可、デジタルアイデンティティー、プライバシー

標準化支援

ソフトウェアセキュリティー、脆弱性

IETF91報告会2014/12/19

3

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

httpbis WG

Tuesday HTTP/2: 9.2.2問題、クライアント認証他

Wednesday HTTP/2: 日本からの報告

proxy関連他

議事録

https://github.com/httpwg/wg-materials/blob/gh-pages/ietf91/minutes.md

IETF91報告会2014/12/19

5

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

HTTP/2 Status as of Today

HTTP/2 draft-16, HPACK draft-10

draft-ietf-httpbis-http2-16

draft-ietf-httpbis-header-compression-10

主要な論点は議論が終わり、publication requestが出された

Honoluluでの議論が反映されたバージョン

IETF91報告会2014/12/19

6

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

9.2.2問題

HTTP/2仕様のセクション9.2.2

HTTP/2はcipher suiteに関する制限が強い

ephemeral key exchange (DHE, ECDHE), 圧縮なし,

etc.

INADEQUATE_SECURITYで接続を切る(MUST)

TLSのcipher negotiationとALPNが協調してcipheを選択しなければならない

どちらの標準にもそんなことは記述がない

IETF91報告会2014/12/19

8

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

white list案

9.2.2解決案

以下の6ステップで 1. Make cipher suite requirements specific to TLS 1.2 2. Nominate a fixed list of suites for use with H2+TLS12 3. Keep the required interop suite (mandatory to

deploy) 4. Clarify that cipher suite requirements apply to

deployments, not impl 5. Relax requirement to generate

INADEQUATE_SECURITY 6. Require support for TLS_FALLBACK_SCSV w/ TLS1.3+

(?)

IETF91報告会2014/12/19

9

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

議論の結果

black list案: 既知のダメなスイートを静的に持つ

white list案では新規スイートが使われない

if the cipher suite selected for h2 is... BAD = peer MAY INADEQUATE_SECURITY

!BAD = peer MUST NOT INADEQUATE_SECURITY

BAD: fixed in-spec black list

→ draft-16では276個のcipher suiteを禁止 生き残ったのが42個

IETF91報告会2014/12/19

10

#http2study

http2.info

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

HTTP/2 Local Activities in Japan

急遽5分もらって発表

http2 conference紹介

最速実装ライブコーディング

実装一覧

活動紹介「issuethon」

nghttp2 リファレンス実装

IETF91報告会2014/12/19

12

Other Issues

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Client Authentication over New TLS Connection

draft-thomson-httpbis-cant

HTTP/2 over TLS1.2 や TLS1.3ではrenegotiationが禁止される/存在しない

spontaneous client authentication connectionを使い回している状態で後から認証が必要になった場合

これまではrenegotiationで対応していた 今後は401を返し、TLS接続からやり直す

そのためのヘッダを提案 401 Unauthorized

WWW-Authenticate: ClientCertificate realm="home", sha-256=NjUw...

IETF91報告会2014/12/19

14

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Proxies

Web Proxy Description draft-nottingham-web-proxy-desc WPD Proxiesというのを定義しよう

MUST support HTTP/2; Clients MUST use HTTP/2 over TLS SHOULD support CONNECT

Web Proxy Description (WPD) Format (JSON)も定義 PACは? trusted middleboxはセキュリティー上はよくない。

PRISMのような場合、システム管理者をねらってエンドユーザーに知られずに盗聴しかけるのが心配

explicitly configured and working on behalf of user agentというのはいまのプロキシの実態に合っていない。いまのプロキシはon behalf of networkで動いている

middle-boxの扱いについてはi2rs BoFもある。AD預かり

IETF91報告会2014/12/19

15

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Proxies

WPD Proxy Discovery http://www.ietf.org/proceedings/91/slides/slides-91-

httpbis-0.pdf draft-chow-httpbis-proxy-discovery-00 https://??authority??/.well-known/web-desc-proxy 誰に聞くかという問題がある。ここでhttpsであることが重要

オリジンauthorityを送るとMITM可能という問題 最初に返事した者が正しいという保証はない。特にhotspotでは。最初のauthorityをどこに書くか

本来security areaで扱うべき問題では?

IETF91報告会2014/12/19

16

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

httpauth WG

Friday

character set

Basic Update

Digest Update

HOBA

議事録

http://tools.ietf.org/wg/httpauth/minutes

IETF91報告会2014/12/19

18

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Allowed character set issue

ログイン名やパスワードに使用できる文字セットをprecis WGで検討中

saslprepbisとbasic authの間でidentifierに使用できる文字セットに違いがある

例: black chess king「♚」 saslprepbisでは禁止 basic authでは特に禁止されていない

Precisで安全な文字として定義されたものはBasic認証でも使えなければならない(MUST) それ以外のものも使えてもよい(MAY)

IETF91報告会2014/12/19

19

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Basic認証

draft-ietf-httpauth-basicauth-update-03

新しいパラメータ charset

WWW-Authenticate: Basic realm="foo",

charset="UTF-8"

username: MLで提案されたが採用はせず

extensibility レジストリを用意するほどではない

character setはprecis WGの成果にしたがう

IETF91報告会2014/12/19

20

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Digest認証

draft-ietf-httpauth-digest-09

WGLCは終了。メジャーな問題はない

Unicode NFC/NFDの問題 Unicode正規化前後で認証不可能

クライアントは正規化しなければならない(MUST)

サーバー処理は明示せず

charset: 明示しないと相互運用性の問題に 明示するとしたらUTF-8がISO-8859-1よりよい

再度のWGLC (Basicの後)

IETF91報告会2014/12/19

21

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

HTTP Origin-Bound Authentication

HOBA

draft-ietf-httpauth-hoba-07

クライアント側でキーペアを作成することにより認証

IESGへ送られた

IETF91報告会2014/12/19

22

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

まとめ

HTTP/2 IESGへ

日本からの貢献も

httpauth Basic, Digest認証の修正がWGLC

HOBAがIESGへ

charsetの問題はprecis WGで進んでいる

IETF91報告会2014/12/19

23

Copyright © 2004-2014 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/

Any Questions? / Please Feedback!

https://lepidum.co.jp/

mailto:maeda@lepidum.co.jp / twitter: @mad_p

IETF91報告会2014/12/19