¿Qué beneficios de seguridad aporta ALPN a TLS?

Navega tus respuestas
3

He estado recomendando Negociación de protocolo de la capa de aplicación (el sucesor de la próxima negociación de protocolo) a personas para Hace un tiempo, pero recientemente me di cuenta de que en realidad no tengo un ejemplo concreto de sus beneficios de seguridad, a pesar de que la función se informa ampliamente como una "mejora de la seguridad", así como un bono de velocidad en algunos escenarios de infraestructura. La mayoría de los artículos sobre el tema son bastante nebulosos con respecto a los aspectos de seguridad, y no detecté una respuesta obvia en el RFC.

¿Cómo mejora el soporte de ALPN la seguridad de TLS y del sistema en general? Entiendo que reduce la sobrecarga de la conexión y, por lo tanto, hace que sea más factible de implementar en todas partes, pero esto no es realmente una mejora directa de la seguridad del protocolo.

    
pregunta Polynomial 12.01.2017 - 12:37
fuente

1 respuesta

3

El ALPN por sí mismo no ofrece ningún beneficio de seguridad ni mejora la velocidad. Pero, si su aplicación necesita una negociación del protocolo de la aplicación, esta negociación ya se puede realizar dentro del protocolo de enlace TLS y, por lo tanto, no necesita viajes de ida y vuelta adicionales. Y aquí es de donde viene la mejora de la velocidad.

El uso principal de ALPN está dentro de los navegadores para indicar al servidor que el cliente admite HTTP / 2. Si el servidor también admite esto, ya le dirá al cliente dentro del protocolo de enlace TLS para que el cliente comience con HTTP / 2 inmediatamente después del protocolo de enlace TLS en lugar de necesitar otra negociación. Y dado que HTTP / 2 ofrece más rendimiento que HTTP / 1.1 independientemente si se usa TLS o no, la elección de este protocolo sobre HTTP / 1.1 se suma a la mejora de la velocidad.

    
respondido por el Steffen Ullrich 12.01.2017 - 12:46
fuente

Lea otras preguntas en las etiquetas

¿Cómo debería ser una descripción de trabajo para un desarrollador centrado en prácticas de codificación seguras? [cerrado] ¿Por qué no hay una marca de SameOrigin que pueda colocar en las cookies para evitar el CSRF?