RFC: 3920
Оригинал: Extensible Messaging and Presence Protocol (XMPP): Core
Другие версии: RFC 6120
Категория: Предложенный стандарт
Дата публикации:
Автор:
Перевод: Семенов Юрий Алексеевич

14.2. Валидация сертификатов

Когда XMPP-партнер осуществляет связь с другим объектом безопасным образом, он должен проверить сертификат партнера.

Существует три возможных варианта:

  • Случай #1: Партнер имеет сертификат оконечного объекта, который оказывается сертифицирован цепочкой сертификатов (как описано в разделе 6.1 [X509]).
  • Случай #2: Сертификат партнера подтвержден центром сертификации, неизвестным проверяющему партнеру.
  • Случай #3: Сертификат партнера подписан им самим.

В случае #1, осуществляющий валидацию партнер должен выполнить одну из двух вещей:

  1. Верифицировать сертификат партнера согласно правилам [X509]. Сертификат должен быть затем проверен на предмет ожидаемой идентичности партнера согласно правил из [HTTP-TLS], за исключением того, что для идентификации партнера должно использоваться расширение subjectAltName типа "xmpp" (если имеется). Если одна из этих проверок не прошла, клиенты, ориентированные на пользователя, должны либо уведомить пользователя (клиенты в любом случае могут дать возможность пользователю сохранить соединение) или разорвать соединение с "неисправимой ошибкой сертификата". Автоматические клиенты должны разорвать соединение и сделать запись в соответствующий журнальный файл. Автоматические клиенты могут предоставить конфигурационные установки, которые блокируют эту проверку, но должны предоставить возможность ее восстановления.

  2. Партнер должен предъявить сертификат пользователю для одобрения, включая всю сертификационную цепочку. Партнер должен кэшировать сертификат (или некоторую неподделываемую презентацию сертификата типа хэша). При будущих соединениях партнер должен верифицировать факт идентичности предъявляемого сертификата и уведомлять пользователя, если он изменился.

В случае #2 и #3, реализации должны действовать как в (2) выше.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.