Появляются новые gTLD. Как браузеры будут обрабатывать файлы cookie, SOP и сертификаты?


2

Учитывая, что безопасность «зона» изменяется в зависимости от ДВОЙ, how will the new TLS be handled?

Например: браузер может разрешить кук для совместного использования и SSL сертификаты, и подстановочных сертификаты

  • company.com (два слоя глубина)
  • company.co.uk (три слоя глубиной)
  • local (один слой глубиной)

Однако печенье, запросы кросса сайта и многие другие запрещены браузерами, как и все они применяются слишком широко ДВА

  • *.com (два слоя глубокого)
  • *.co.uk (три слоя глубины)

Вопроса :

  1. С новыми предлагаемыми TLD, какой будет новый уровень безопасности для обоих подстановочных сертификатов ificates и SOP? Где это опубликовано?

  2. Ожидается, что SOP и объем подстановочных сертификатов будут равны?

  3. Существуют ли какие-либо другие проблемы помимо сертификатов SSL и SOP, которые применяются к файлам cookie, кросс-сайтам, javascript, localstorage, Flash и т. Д.?

Update:

Поскольку нет никаких шансов на каждой ЦА, поддерживающей ту же политику при выдаче сертификатов, и СОП действительно зависит от всех браузеров получать консенсус, как будет браузеры справиться с этим?

  0

Неправильно вариант? Причина в том, что я буду догадываться о том, как браузеры справятся с этим. 13 авг. 132013-08-13 00:06:48

1

На самом деле это не принципиально не так, как сейчас. Фактически, ЦС должен принять решение о своих политиках, чтобы гарантировать, что они не выдадут более широкий сертификат, чем объект, запрашивающий элементы управления сертификатом. Он попытается сопоставить подстановочный знак с именем домена в сертификате, чтобы убедиться, что он соответствует. Они должны будут определить это на основе каждой зоны и как распределяются имена доменов в этой зоне.

  0

Скорее всего, это постоянное ограничение имени SSL (так сказать), введенное всеми государственными центрами сертификации или всеми браузерами? 12 авг. 132013-08-12 17:57:20

  0

Да, каждый браузер «должен будет определить это на основе каждой зоны и как распределяются имена доменов в этой зоне». Означает ли это, что каждый поставщик должен это понять? Будет ли это согласовано между поставщиками? Любая несогласованность будет означать, что некоторые ДВУ более «безопасны», чем другие. (кража печенья и т. д.) 12 авг. 132013-08-12 18:05:00


1

Это мое понимание, что подстановочные сертификаты only support a single level of subdomain matching. То есть вы не можете иметь такие соответствия, как *.*.com или *.*.stackexchange.com. Я считаю, что вы можете технически иметь подстановочные сертификаты, такие как *.com, хотя ни один сертификат не должен выдавать такие сертификаты (и они будут соответствовать только google.com и не совпадают с www.google.com).

Предоставлено RFC-6125, похоже, указывает, что допустимые местоположения подстановочного знака в подстановочных сертификатах используются, чтобы не быть четкими и последовательно определяемыми в разных браузерах.Тем не менее, она дает clear rules for how to do it:

Если клиент соответствует ссылочному идентификатору против представленных идентификатора которого DNS имени домена часть содержит символ подстановки «*», то применяются следующие правила:

  1. Клиент НЕ ДОЛЖНО пытаться сопоставить представленный идентификатор в , который подстановочным символом содержит метку, отличную от самой левой метки (например, не соответствует строке. *. Example.net).

  2. Если символ подстановки является единственным характером самого левого метки в представленном идентификатору, клиент НЕ ДОЛЖЕН сравнивать против ничего, кроме крайней левой метке идентификатора ссылки (например, * .example .com будет соответствовать foo.example.com, но не bar.foo.example.com или example.com).

  3. Клиент может соответствовать представленный идентификатор, в котором одиночный символ не является единственным символом метки (например, Баз * .example.net и * baz.example.net и б * z.example. net будет быть взятым, чтобы соответствовать baz1.example.net и foobaz.example.net и buzz.example.net, соответственно). Тем не менее, клиент НЕ СЛЕДУЕТ попытка сопоставить представленный идентификатор, где одиночный символ вложена в А-метки или U-метки [IDNA-DEFS] из интернационализированное доменное имя [IDNA-

  0

Два уровня подстановочных знаков почти касаются вопроса, который я задаю. Я удалил их из своего вопроса. Это ошибка браузера, которая была использована и может быть использована повторно. Мой основной вопрос касается SOP и того, какое DNS-имя защищено от данного однорангового DNS-имени. 12 авг. 132013-08-12 18:02:19

  0

Возможно, я должен удалить сертификаты из моего вопроса. Я сосредоточен на SOP ... а не на создании подстановочного сертификата, который уже находится на этом сайте. 12 авг. 132013-08-12 18:06:23


2

SOP и подстановочные сертификаты являются ортогональными. SOP работает над именами, найденными в URL-адресе, и не заботится о том, что появилось в любом сертификате, который может или не был задействован в какой-то момент. Если скрипт пришел из URL-адреса в https://foo.example.com/, то https://bar.example.com/ будет рассматриваться как отдельный «источник», даже если оба используют один и тот же сертификат с обоими foo.example.com и bar.example.com (или, что эквивалентно, подстановочное имя *.example.com).

Существующие браузеры используют не документированные ограничительные правила в отношении допустимых имен подстановок. См., Например, this previous question. Одно частое правило заключается в том, что групповые символы первого уровня и второго уровня не допускаются (поэтому нет *.com); новые TLD ничего не изменят. Сложная часть предназначена для «двухуровневых» имен, которые функционально действуют как TLD, например. co.uk. Новые ДВУ, в значительной степени, способ избегают таких двухуровневых псевдоДЛ, поэтому ожидается, что это повлечет за собой следующее: проблема, а не больше.

Все эти игры о подстановочных сертификатах: только для SSL/TLS и не влияют на уровень HTTP; SOP, файлы cookie ... не заботятся о подстановочных именах.

(Если поставщик браузер получает действительно творческим, так как они иногда делают.)


1

Использование Public Suffix List делает это относительно легко, так как этот список не меняется очень часто.

Это список всех доменов верхнего уровня и второго уровня, по которым люди могут приобрести доменное имя.Таким образом, браузер должен соответствовать только одному уровню за пределами соответствующей записи в этом списке, чтобы определить доменное имя, которое оно должно использовать в качестве источника.

Это поддерживается в Firefox для quite some time, и Mozilla сделала список открытым для всех, кто хочет его использовать.