L'SNI ha qualche vantaggio quando si esegue la convalida delle impronte digitali anziché utilizzare il nome comune?

4

L'utilizzo di SNI ha qualche vantaggio (sicurezza, scalabilità o altro) se la convalida del certificato TLS viene eseguita utilizzando esclusivamente l'impronta digitale del certificato e senza tenere conto del nome comune? (Esempi di sistemi in cui questo potrebbe essere plausibilmente il caso includono DANE e Convergence.) Anche i benefici strani che riguardano solo i casi di utilizzo di nicchia di piccole dimensioni sono considerati benefici.

Suppongo che il 100% dei visitatori utilizzi la convalida delle impronte digitali dei certificati, quindi la retrocompatibilità con la convalida del nome comune non è un fattore.

La mia motivazione per l'eliminazione di SNI è che fa filtrare i metadati a un intercettatore passivo. Anche se questo non è necessariamente un grosso problema nella maggior parte dei casi, mi dà abbastanza fastidio che se non ha alcun beneficio nel sistema che sto descrivendo, lo rimuoverei.

    
posta biolizard89 26.10.2014 - 03:30
fonte

1 risposta

0

(Risposta modificata poiché non si confondono SAN e SNI):

Con SNI il client invia il nome host previsto all'interno di ClientHello. Questo è necessario se si hanno più certificati dietro lo stesso indirizzo IP. Non importa se convalidate i certificati nel modo consueto o se li verificate con le impronte digitali - l'unica domanda è se avete un singolo certificato sull'IP (non sono necessari SNI) o più certificati (SNI necessario).

Se il server è sotto il tuo controllo e l'applicazione dovrebbe connettersi solo al tuo server, allora un singolo certificato è sufficiente, quindi non è necessario alcun SNI. Tuttavia, se si utilizza un CDN, spesso si hanno più certificati dietro lo stesso IP e la relazione tra il server / IP effettivo e i certificati ospitati potrebbe cambiare nel tempo. In questo caso non è sufficiente identificare il server come di proprietà del CDN, ma è necessario assicurarsi che il proprio certificato si trovi sul server e indicare al server di utilizzare la configurazione dietro il certificato. In questo caso hai bisogno di SNI.

E, mentre l'intestazione Host all'interno di una richiesta HTTP specifica anche il nome host richiesto, questa è solo una proprietà di HTTP (e non è nemmeno richiesta con HTTP / 1.0). Con protocolli come SMTP non si dispone di tali informazioni, ma SNI è ancora utilizzato con questi protocolli sul lato client (postfix, exim) e anche sul lato server (exim).

    
risposta data 26.10.2014 - 07:38
fonte

Leggi altre domande sui tag