小心考虑:
TLS_RSA_EXPORT_WITH_RC4_40_MD5
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA
下面的密码适配组易受手动之间攻击(man-in-the-middleattacks),而且不应该
(SHOULDNOT)用于保护口令或者敏感数据,除非网络配置上对这样的手动中间攻击的危险
是可容忍的:
TLS_DH_anon_EXPORT_WITH_RC4_40_MD5
TLS_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA
TLS_DH_anon_WITH_DES_CBC_SHA
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
支持TLS的客户或者服务必须(MUST)至少支持TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA 。
11.对于LDAP的SASL服务名字
对于SASL[2]的使用,协议必须制定各种不同SASL机制使用的服务名字,例如GSSAPI 。
对于LDAP,服务名字是"ldap",其已经在IANA注册作为GSSAPI服务名字 。
12.安全考虑
安全问题在这份备忘录(memo)中全篇被讨论;结论(令人惊异的)是强制(mandatory)
安全是重要的,并且当窥探是一个问题的时候会话加密是需要的 。
服务(程序)被促进去防止被匿名用户修改 。服务(程序)也可以通过超时无效连接希
望最小化服务否定攻击,并且返回unwillingToPerform结果代码而不执行被未授权客户(程
序)请求的昂贵计算操作 。
在客户(程序)还没有执行启动TLS操作或者为连接完整性和加密服务协商一套SASL
机制之上的连接是在传输中手动之间攻击(man-in-the-middleattacks)查看和修改信息方
面的主题 。
相关于协商TLS扩展(EXTERNAL)机制的安全考虑能在[2],[5]和[6]中找到 。
13.确认
这篇文档是IETF的LDAPEXTWorkingGroup的产物 。其成员的贡献是非常值得欣赏的 。
14.文献
[1]Wahl,M.,Howes,T.andS.Kille,"LightweightDirectoryAccess
Protocol(v3)",RFC2251,December1997.
[2]Myers,J.,"SimpleAuthenticationandSecurityLayer(SASL)",RFC
2222,October1997.
[3]Bradner,S.,"KeywordsforuseinRFCstoIndicateRequirement
Levels",BCP14,RFC2119,March1997.
[4]Leach,P.andC.Newman,"UsingDigestAuthenticationasaSASL
Mechanism",RFC2831,May2000.
[5]Hodges,J.,Morgan,R.andM.Wahl,"LightweightDirectoryAccess
Protocol(v3):ExtensionforTransportLayerSecurity",RFC2830,
May2000.
[6]Dierks,T.andC.Allen,"TheTLSProtocolVersion1.0",RFC
2246,January1999.
[7]Crocker,D.,Ed.andP.Overell,"AugmentedBNFforSyntax
Specifications:ABNF",RFC2234,November1997.
[8]Kent,S.andR.Atkinson,"SecurityArchitecturefortheInternet
Protocol",RFC2401,November1998.
15.作者的地址
MarkWahl
SunMicrosystems,Inc.
8911CapitalofTexasHwy#4140
AustinTX78759
USA
EMail:M.Wahl@innosoft.com
HaraldTveitAlvestrand
EDBMaxware
Pirsenteret
N-7462Trondheim,Norway
Phone: 4773545797
EMail:Harald@Alvestrand.no
JeffHodges
Oblix,Inc.
18922ForgeDrive
Cupertino,CA95014
USA
Phone: 1-408-861-6656
EMail:JHodges@oblix.com
RL"Bob"Morgan
ComputingandCommunications
UniversityofWashington
Seattle,WA98105
USA
Phone: 1-206-221-3307
EMail:rlmorgan@washington.edu
16.完整版权声明
版权(C)因特网协会(2001) 。版权所有 。
这个文档和它的翻译可以拷贝和分配给其他人,以及有关评论或者别样的解释或者其应
用的帮助等派生工作可以被预备、拷贝、发表和发布,其整体或者部分没有受到任何限制,
推荐阅读
- 潮汕挑花篮是什么风俗
- 河蟹池塘里的青虾“长毛”咋办
- 如何去看好友空间里的宠物呢
- 快的打车怎么现金付款
- 对于零基础学舞蹈的人有什么建议
- 我对的诺基亚6030的意见
- 什么是rbq
- 如何去除袄子上的玻璃胶
- 公积金是当月缴纳当月的吗
- 线性方程组的特解 线性方程组的特解怎么求