¿SNI tiene algún beneficio al realizar la validación de huellas digitales en lugar de usar el nombre común?

4

¿El uso de SNI tiene algún beneficio (ya sea de seguridad, escalabilidad u otro) si la validación del certificado TLS se realiza exclusivamente con la huella digital del certificado y sin tener en cuenta el nombre común? (Los ejemplos de sistemas en los que este podría ser el caso plausible incluyen DANE y Convergence). Incluso los beneficios extraños que solo afectan los casos de uso de nichos pequeños califican como beneficios.

Supongo que el 100% de los visitantes utilizarán la validación de certificados por huella digital, por lo que la compatibilidad con versiones anteriores con la validación de nombres comunes no es un factor.

Mi motivación para eliminar SNI es que filtra metadatos a un interceptor pasivo. Si bien esto no es necesariamente un gran problema en la mayoría de los casos, me molesta tanto que si no tiene ningún beneficio en el sistema que estoy describiendo, lo eliminaría.

    
pregunta biolizard89 26.10.2014 - 03:30
fuente

1 respuesta

0

(Respuesta editada ya que no está confundiendo SAN y SNI):

Con SNI, el cliente envía el nombre de host esperado dentro de ClientHello. Esto es necesario si tiene varios certificados detrás de la misma dirección IP. No importa si valida los certificados de la forma habitual o si lo verifica mediante huella digital, la única pregunta es si tiene un solo certificado en la IP (no es necesario SNI) o varios certificados (se necesita SNI).

Si el servidor está bajo su control y su aplicación solo debe conectarse a su servidor, entonces un solo certificado es suficiente, por lo que no se necesita un SNI. Pero, si usa un CDN, a menudo tiene múltiples certificados detrás de la misma IP y la relación entre el servidor / IP real y los certificados alojados puede cambiar con el tiempo. En este caso, no es suficiente identificar el servidor como propiedad de la CDN, pero debe asegurarse de que su certificado esté ubicado en el servidor y decirle al servidor que use la configuración detrás del certificado. En este caso necesita SNI.

Y, aunque el encabezado del Host dentro de una solicitud HTTP también especifica el nombre de host solicitado, esto es solo una propiedad de HTTP (y ni siquiera es necesario con HTTP / 1.0). Con protocolos como SMTP no tiene esa información, pero SNI todavía se usa con estos protocolos en el lado del cliente (postfix, exim) y también en el lado del servidor (exim).

    
respondido por el Steffen Ullrich 26.10.2014 - 07:38
fuente

Lea otras preguntas en las etiquetas