RFC: 3631
Оригинал: Security Mechanisms for the Internet
Категория: Информационный
Дата публикации:
Авторы: , ,
Перевод: Мельников Дмитрий Анатольевич

3.4. TLS-протокол

Протокол безопасности транспортного уровня (Transport Level Security — TLS, RFC2246) обеспечивает шифрование и аутентификацию канала, который сформирован прикладным протоколом с использованием ТСР-протокола. Несмотря на то, что TLS-протокол был специально разработан для использование в WWW-серверах, это не означает ограничение сферы его применения. Тем не менее, каждый прикладной протокол, который желает использовать TLS-протокол, должен претерпеть индивидуальные корректировки.

Как правило, сервер (в структуре «клиент ⇔ сервер») всегда аутентифицируется на основе электронного сертификата. Пользователи также могут иметь сертификаты, с помощью которых можно проводить аутентификацию «в ручную», тем не менее такой способ не нашел широкого применения. К сожалению, на практике даже процедура аутентификации сервера не на столько защищена по сравнению с криптографическими способами, которые могли быть использованы, так как большинство прикладных протоколов (служб) позволяют пользователям игнорировать отрицательный результат аутентификации, а большинство пользователей обычно так и делает. Разработчики протоколов должны быть осторожны с точки зрения применения открытых паролей, даже когда соединения защищены с помощью TLS-протокола. (Это требование может быть немного ослаблено, если станет ясно, что прикладные службы способны верифицировать подлинность и проводить авторизацию сертификата сервера.)

Несмотря на необходимость внесения изменений в прикладную службу (протокол), требуется использовать TLS-протокол, и особенно там, где имеются в наличии необходимые средства (и бесплатные, и коммерческие), обеспечивающие такую услугу. Такие средства разработаны для встраивания в листинг программы прикладного протокола. Прикладная служба, использующая TLS-протокол, вероятнее всего будет способна устанавливать наиболее приемлемые стратегии обеспечения безопасности, исходя из собственной функциональной специфики, по сравнению с прикладной службой, использующей только IPsec-протоколы.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.