인터넷 엔지니어링 태스크 포스 (IETF)

A. Hutton

Request for Comments: 7639

Unify

카테고리: 표준 트랙

J. Uberti

ISSN: 2070-1721

Google

M. Thomson

Mozilla

2015년 8월

ALPN HTTP 헤더 필드

요약

이 명세는 HTTP CONNECT 요청이 ALPN 헤더 필드를 사용하여 터널이 설정된 후에 사용될 프로토콜을 표시할 수 있도록 허용합니다.

이 메모의 상태

이 문서는 인터넷 표준 트랙 문서입니다.

이 문서는 인터넷 엔지니어링 태스크 포스(IETF)의 산물입니다. 이 문서는 IETF 커뮤니티의 합의를 나타냅니다. 공개 검토를 거쳤으며 인터넷 엔지니어링 운영 그룹(IESG)의 출판 승인을 받았습니다. 인터넷 표준에 대한 추가 정보는 RFC 5741의 섹션 2에서 확인할 수 있습니다.

이 문서의 현재 상태, 정오표 및 이에 대한 피드백 제공 방법에 관한 정보는 http://www.rfc-editor.org/info/rfc7639에서 확인할 수 있습니다.

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

1. 소개
- 1.1. 요구 사항 언어
2. ALPN HTTP 헤더 필드
- 2.1. 헤더 필드 값
- 2.2. 구문
- 2.3. 사용법
3. IANA 고려사항
4. 보안 고려사항
5. 참조
- 5.1. 규범 참조
- 5.2. 정보 참조
저자 주소

1. 소개

HTTP CONNECT 메서드(섹션 4.3.6의 [RFC7231]) 은 수신자가 식별된 오리진 서버로 터널을 설정하고 그 이후 터널이 닫힐 때까지 양방향으로 패킷을 전달하도록 요청합니다. 이러한 터널은 하나 이상의 프록시를 통해 종단 간 가상 연결을 생성하는 데 일반적으로 사용됩니다.

ALPN HTTP 헤더 필드는 클라이언트가 CONNECT를 사용하여 설정된 터널 내에서 사용하려는 프로토콜(또는 프로토콜 집합)을 식별합니다. 이는 Application-Layer Protocol Negotiation (ALPN) 식별자([RFC7301])를 사용합니다.

TLS(Transport Layer Security)를 사용하여 보호되는 터널의 경우, 헤더 필드는 TLS 핸드셰이크 내에서 전달될 것과 동일한 애플리케이션 프로토콜 레이블을 운반합니다 [RFC7301]. 가능한 애플리케이션 프로토콜이 여러 개인 경우, 모든 해당 애플리케이션 프로토콜이 표시됩니다.

ALPN 헤더 필드는 클라이언트 의도의 표시만을 운반합니다. 여기서 ALPN 식별자는 클라이언트가 터널에서 사용하려는 애플리케이션 프로토콜 또는 프로토콜 모음을 식별하는 데만 사용됩니다. 이 헤더 필드를 사용하여 협상은 이루어지지 않습니다. TLS에서는 최종 애플리케이션 프로토콜 선택이 클라이언트가 제시한 선택 집합에서 서버에 의해 이루어집니다. 다른 기반(서브스트레이트)은 애플리케이션 프로토콜을 다르게 협상할 수 있습니다.

프록시는 터널링된 프로토콜을 구현하지 않지만, 헤더 필드 값에 따라 정책 결정을 내릴 수 있습니다. 예를 들어 프록시는 애플리케이션 프로토콜을 사용하여 적절한 트래픽 우선순위를 선택할 수 있습니다.

1.1. 요구 사항 언어

이 문서에서 "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", 및 "OPTIONAL"이라는 핵심 단어들은 RFC 2119에 설명된 바와 같이 해석됩니다 [RFC2119].

2. ALPN HTTP 헤더 필드

클라이언트는 CONNECT 요청에서 ALPN 헤더 필드를 포함하여 터널 내에서 사용하려는 애플리케이션 계층 프로토콜 또는 터널 내에서 사용될 수 있는 프로토콜 집합을 표시합니다.

2.1. 헤더 필드 값

프로토콜 필드의 유효한 값은 [ALPN-IDS] 레지스트리에서 가져오며, 이는 [RFC7301]에 의해 설정됩니다.

2.2. 구문

ALPN 헤더 필드 값의 ABNF(Augmented Backus-Naur Form) 구문은 아래와 같습니다. 이 구문은 섹션 1.2에서 정의된 구문을 사용합니다 [RFC7230].

ALPN            = 1#protocol-id
protocol-id     = token ; percent-encoded ALPN protocol identifier

ALPN 프로토콜 이름은 형식에 대한 추가 제약이 없는 옥텟 시퀀스입니다. 토큰에서 허용되지 않는 옥텟([RFC7230], 섹션 3.2.6)은 섹션 2.1에 따라 퍼센트 인코딩되어야 합니다 [RFC3986]. 결과적으로, 퍼센트 문자 "%" (16진수 25)를 나타내는 옥텟도 퍼센트 인코딩되어야 합니다.

어떤 ALPN 프로토콜 이름이든 정확히 한 가지 방식으로 표현되도록 하기 위해 다음 추가 제약이 적용됩니다:

ALPN 프로토콜의 옥텟은 "%"를 제외한 유효한 토큰 문자인 경우 퍼센트 인코딩하면 안 됩니다.
퍼센트 인코딩을 사용할 때는 대문자 16진수 숫자를 사용해야 합니다.

이러한 제약으로 수신자는 프로토콜 식별자를 일치시키기 위해 단순한 문자열 비교를 적용할 수 있습니다.

예:


  CONNECT www.example.com HTTP/1.1
  Host: www.example.com
  ALPN: h2, http%2F1.1

2.3. 사용법

ALPN 헤더 필드에서 ALPN 식별자는 단일 프로토콜 계층이나 구성 요소가 아니라 전체 애플리케이션 프로토콜 스택을 식별하는 데 사용됩니다.

TLS로 보호되는 프로토콜을 전달하는 CONNECT 터널의 경우, ALPN 헤더 필드의 값은 TLS ClientHello 메시지에서 전송될 동일한 ALPN 식별자 목록을 포함합니다 [RFC7301].

TLS를 사용하지 않는 등 프로토콜 협상이 발생하지 않을 것으로 예상되는 경우, ALPN 헤더 필드는 의도된 애플리케이션 프로토콜에 해당하는 단일 ALPN 프로토콜 식별자를 포함합니다. 다른 형태의 프로토콜 협상이 가능할 경우, ALPN 헤더 필드는 협상될 수 있는 프로토콜 집합을 포함합니다.

프록시는 ALPN 헤더 필드 값을 사용하여 CONNECT 터널 요청을 보다 명확하고 효율적으로 거부할 수 있습니다. HTTP 계층에서 프로토콜 정보를 노출하면 프록시는 더 일찍 요청을 거부하고(예: 403 상태 코드와 같은) 더 나은 오류 보고를 제공할 수 있습니다. ALPN 헤더 필드는 위조될 수 있으므로 요청 승인에 대한 충분한 근거로 사용될 수 없습니다.

프록시는 사용 중인 프로토콜을 결정하기 위해 패킷을 검사하려 시도할 수 있습니다. 이는 프록시가 각 ALPN 식별자를 이해해야 함을 요구합니다. TLS와 같은 프로토콜은 협상된 프로토콜을 숨길 수 있으며, 또는 프로토콜 협상 세부사항이 시간이 지나며 변경될 수 있습니다. 프록시는 프로토콜을 인식하지 못한다는 이유만으로 CONNECT 터널을 차단해서는 안 됩니다.

프록시는 ALPN 헤더 필드 값을 사용하여 연결 관리 또는 우선순위 지정 방식을 변경할 수 있습니다.

3. IANA 고려사항

HTTP 헤더 필드는 IANA가 관리하는 "Permanent Message Header Field Names" 레지스트리에 등록됩니다 [MSG-HDRS]. 이 문서는 다음과 같이 ALPN 헤더 필드를 정의하고 등록합니다(등록 절차는 RFC3864에 따릅니다):

Header Field Name:: ALPN
Protocol:: http
Status:: Standard
Reference:: 문서의 섹션 2 (RFC 7639)
Change Controller:: IETF (iesg@ietf.org) - Internet Engineering Task Force

4. 보안 고려사항

HTTP CONNECT를 TURN(Traversal Using Relays around NAT, [RFC5766]) 서버로 사용할 경우, 섹션 4.3.6의 보안 고려사항이 적용됩니다. 해당 섹션은 "특히 대상이 웹 트래픽을 의도하지 않은 잘 알려진 또는 예약된 TCP 포트인 경우 임의의 서버에 터널을 설정하는 데 상당한 위험이 있다. ... CONNECT를 지원하는 프록시는 제한된 알려진 포트 집합이나 안전한 요청 대상의 구성 가능한 화이트리스트로 사용을 제한해야 한다."고 명시합니다.

이 문서에 설명된 ALPN 헤더 필드는 선택 사항입니다. 클라이언트와 HTTP 프록시는 이를 지원하지 않기로 선택할 수 있으므로 헤더를 제공하지 않거나, 제공된 경우에도 무시할 수 있습니다. 헤더 필드가 없거나 무시되는 경우, 프록시는 터널의 목적을 식별할 수 없으므로 터널에 대한 승인 결정의 입력으로 이를 사용할 수 없습니다. 이는 클라이언트 또는 프록시가 ALPN 헤더 필드를 지원하지 않는 경우와 구별되지 않습니다.

ALPN 헤더 필드에는 기밀성 보호가 없습니다. 기밀하거나 민감한 정보를 노출할 수 있는 ALPN 식별자는 보내지 않아야 합니다(자세한 내용은 섹션 5 참조) [RFC7301].

ALPN 헤더 필드의 값은 클라이언트에 의해 위조될 수 있습니다. 터널을 통해 전송되는 데이터가 암호화되어 있는 경우(예: TLS), 프록시는 주장된 프로토콜이 실제로 사용되는 프로토콜인지 직접 검사하여 확인하지 못할 수 있습니다. 다만 프록시는 트래픽 분석을 수행할 수 있습니다 [TRAFFIC]. 따라서 프록시는 모든 경우에 ALPN 헤더 필드 값을 정책 입력으로서 신뢰할 수 없습니다.

5. 참조

5.1. 규범 참조

[RFC2119]: Bradner, S., “RFC에서 요구 수준을 표시하기 위한 핵심 단어 사용”, BCP 14, RFC 2119, DOI 10.17487/RFC2119, 1997년 3월, <http://www.rfc-editor.org/info/rfc2119>.
[RFC3864]: Klyne, G., Nottingham, M., and J. Mogul, “메시지 헤더 필드 등록 절차”, BCP 90, RFC 3864, DOI 10.17487/RFC3864, 2004년 9월, <http://www.rfc-editor.org/info/rfc3864>.
[RFC3986]: Berners-Lee, T., Fielding, R., and L. Masinter, “통합 리소스 식별자(URI): 일반 구문”, STD 66, RFC 3986, DOI 10.17487/RFC3986, 2005년 1월, <http://www.rfc-editor.org/info/rfc3986>.
[RFC7230]: Fielding, R. and J. Reschke, “Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing”, RFC 7230, DOI 10.17487/RFC7230, 2014년 6월, <http://www.rfc-editor.org/info/rfc7230>.
[RFC7231]: Fielding, R. and J. Reschke, “Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content”, RFC 7231, DOI 10.17487/RFC7231, 2014년 6월, <http://www.rfc-editor.org/info/rfc7231>.
[RFC7301]: Friedl, S., Popov, A., Langley, A., and E. Stephan, “Transport Layer Security (TLS) Application-Layer Protocol Negotiation Extension”, RFC 7301, DOI 10.17487/RFC7301, 2014년 7월, <http://www.rfc-editor.org/info/rfc7301>.

5.2. 정보 참조

[ALPN-IDS]: IANA, “Application-Layer Protocol Negotiation (ALPN) Protocol ID”, <http://www.iana.org/assignments/tls-extensiontype-values>.
[MSG-HDRS]: IANA, “Permanent Message Header Field Names>”, <https://www.iana.org/assignments/message-headers>.
[RFC5246]: Dierks, T. and E. Rescorla, “The Transport Layer Security (TLS) Protocol Version 1.2”, RFC 5246, DOI 10.17487/RFC5246, 2008년 8월, <http://www.rfc-editor.org/info/rfc5246>.
[RFC5766]: Mahy, R., Matthews, P., and J. Rosenberg, “Traversal Using Relays around NAT (TURN): Relay Extensions to Session Traversal Utilities for NAT (STUN)”, RFC 5766, DOI 10.17487/RFC5766, 2010년 4월, <http://www.rfc-editor.org/info/rfc5766>.
[TRAFFIC]: Pironti, A., Strub, P-Y., and K. Bhargavan, “Identifying Website Users by TLS Traffic Analysis: New Attacks and Effective Countermeasures, Revision 1”, 2012, <https://alfredo.pironti.eu/research/publications/full/identifying-website-users-tls-traffic-analysis-new-attacks-and-effective-counterme>.

저자 주소

Andrew Hutton
Unify
Technology Drive
Nottingham, NG9 1LA
United Kingdom
EMail: andrew.hutton@unify.com

Justin Uberti
Google
747 6th Street South
Kirkland, WA 98033
United States
EMail: justin@uberti.name

Martin Thomson
Mozilla
331 East Evelyn Avenue
Mountain View, CA 94041
United States
EMail: martin.thomson@gmail.com