Cadena hexadecimal en el campo SNI TLS

Navega tus respuestas
3

Estoy viendo capturas de paquetes de tráfico TLS, y veo conexiones cifradas con TLS en las que el campo SNI contiene una larga cadena hexagonal (una secuencia de 64 nibbles hexadecimales), no un nombre de dominio.

¿Qué podría desencadenar esto? Estoy acostumbrado a que los clientes HTTPS pongan un nombre de dominio en el campo SNI (el nombre de dominio del servidor web con el que intentan ponerse en contacto). ¿Existe una extensión TLS que sugiera colocar una cadena hexadecimal o una huella digital de hash en el campo SNI? ¿O hay algún protocolo no HTTPS que usa TLS y coloca una cadena o huella digital en el campo SNI?

La especificación de SNI ( RFC 6066 ) no dice nada sobre esto. Proporciona que SNI lleve un nombre de host, no cualquier otro tipo de valor. No he podido encontrar ninguna extensión TLS que pudiera explicar esto.

    
pregunta D.W. 20.09.2016 - 02:34
fuente

1 respuesta

2

Parece que se doblan las reglas

La extensión IANA TLS registro dice que RFC6066 es la definición actual Documento para la extensión "nombre_servidor".

Y la sección RFC6066 en SNI dice:

  

Actualmente, los únicos nombres de servidor compatibles son los nombres de host DNS; sin embargo, esto no implica ninguna dependencia de TLS en el DNS, y es posible que se agreguen otros tipos de nombre en el futuro (mediante una RFC que actualice este documento).

No hay tal actualización de RFC. Ninguno está listado en el registro. (Además, tal "actualizado por" no aparece en la esquina superior izquierda de la primera página del RFC).

Y un poco más abajo, hay esto:

  

TLS PUEDE tratar los nombres de servidor proporcionados como datos opacos y pasar los nombres y tipos a la aplicación.

Leí esto para significar "cuando inventamos un nuevo tipo, podemos hacer esto, pero ahora con los nombres de host DNS actuales, no lo haremos" .

Entonces, si alguien todavía pone algo allí, yo diría que están en un área gris / doblando las reglas.

    
respondido por el StackzOfZtuff 18.01.2017 - 12:54
fuente

Lea otras preguntas en las etiquetas

Creación de subclaves para una clave OpenPGP existente ¿Cómo documentar el método de cifrado o hash utilizado en un documento?