Están llegando nuevos gTLD. ¿Cómo manejarán los navegadores las cookies, SOP y certificados?

2

Dado que la "zona" de seguridad varía según el TLD, ¿cómo se manejará el nuevo TLS?

Por ejemplo: un navegador puede permitir que se compartan cookies, certificados SSL y certificados comodín

  • company.com (dos capas de profundidad)
  • company.co.uk (tres capas de profundidad)
  • local (una capa profunda)

Sin embargo, las cookies, las solicitudes a través del sitio y más están prohibidas por los navegadores, ya que todas se aplican de manera demasiado amplia a los TLD

  • *.com (dos capas de profundidad)
  • *.co.uk (tres capas de profundidad)

Pregunta:

  1. Con los nuevos TLD propuestos, ¿cuál será el nuevo ámbito de seguridad para los certificados comodín y SOP? ¿Dónde se publica?

  2. ¿Se espera que el SOP y el alcance de los certificados de comodines sean iguales?

  3. ¿Existen otras preocupaciones además de los certificados SSL y SOP que se apliquen a las cookies, las solicitudes en sitios cruzados, javascript, localstorage, Flash, etc.?

Actualización:

Dado que no hay ninguna posibilidad de que todas las CA admitan la misma política al emitir certificados, y SOP realmente depende de que todos los navegadores obtengan un consenso, ¿cómo manejará esto navegadores ?

    
pregunta random65537 12.08.2013 - 19:36
fuente

4 respuestas

2

SOP y los certificados de comodín son problemas ortogonales. SOP funciona con los nombres que se encuentran en la URL, y no le importa lo que aparecía en ningún certificado que pudiera o no haber estado involucrado en algún momento. Si un script proviene de una URL en https://foo.example.com/ , entonces https://bar.example.com/ se considerará como un "origen" distinto, incluso si ambos usan el mismo certificado con tanto foo.example.com como bar.example.com (o, de manera equivalente, un comodín nombre *.example.com ).

Los navegadores existentes utilizan reglas restrictivas mal documentadas sobre qué nombres de comodines están permitidos. Ver, por ejemplo, esto pregunta anterior . Una regla frecuente es que los comodines de primer y segundo nivel no están permitidos (por lo tanto, no hay *.com ); Los nuevos TLD no cambiarán nada a eso. La parte difícil es para nombres de "dos niveles" que funcionan como TLD, por ejemplo. %código%. Los nuevos TLD son, en gran parte, una forma de evitar tales pseudo-TLD de dos niveles, por lo que se espera que esto incurra en menos problemas, no en > más .

Todos estos juegos sobre certificados comodín son solo para SSL / TLS y no tienen impacto en el nivel HTTP; SOP, cookies ... no se preocupan por los nombres de comodín.

(A menos que un proveedor de navegadores sea realmente creativo, como a veces lo hacen).

    
respondido por el Thomas Pornin 12.08.2013 - 20:41
fuente
1

En realidad no es muy diferente de lo que es ahora. Realmente le correspondería a la CA decidir sus políticas para asegurarse de que no emiten un certificado más amplio que el de la entidad que solicita los controles de certificado. Intentará relacionar el comodín con el nombre del dominio en el certificado para ver si coincide. Tendrían que determinar esto según cada zona y cómo se asignan los nombres de dominio en esa zona.

    
respondido por el AJ Henderson 12.08.2013 - 19:51
fuente
1

Tengo entendido que los certificados comodín solo admiten un solo nivel de concordancia de subdominios . Es decir, no puedes tener coincidencias como *.*.com o *.*.stackexchange.com . Creo que, técnicamente, puede tener certificados comodín como *.com , aunque ninguna autoridad de certificación debería entregar dichos certificados (y solo coincidirán con, por ejemplo, google.com y no coincidirán con www.google.com ).

Concedido RFC-6125 parece indicar que las ubicaciones permitidas del comodín en los caracteres comodín utilizados para Ser claros y consistentemente definidos en todos los navegadores. Sin embargo, proporciona reglas claras sobre cómo hacerlo :

Si un cliente compara el identificador de referencia con un presentado    identificador cuya parte del nombre de dominio DNS contiene el comodín    carácter '*', se aplican las siguientes reglas:

  1. El cliente NO DEBE intentar hacer coincidir un identificador presentado en    que el carácter comodín comprende una etiqueta distinta de la    etiqueta más a la izquierda (por ejemplo, no coincide con la barra. *. example.net).

  2. Si el carácter comodín es el único carácter del extremo izquierdo    etiqueta en el identificador presentado, el cliente NO DEBE comparar    Contra todo menos la etiqueta más a la izquierda de la referencia.    identifier (por ejemplo, * .example.com coincidiría con foo.example.com pero    no bar.foo.example.com o example.com).

  3. El cliente PUEDE coincidir con un identificador presentado en el que el comodín    el carácter no es el único carácter de la etiqueta (por ejemplo,    baz * .example.net y * baz.example.net y b * z.example.net serían    ser tomado para que coincida con baz1.example.net y foobaz.example.net y    buzz.example.net, respectivamente). Sin embargo, el cliente NO DEBE    intentar hacer coincidir un identificador presentado donde el comodín    el carácter está incrustado dentro de una etiqueta A o una etiqueta U [IDNA-DEFS] de    un nombre de dominio internacionalizado [IDNA-

respondido por el dr jimbob 12.08.2013 - 19:55
fuente
1

El uso de la Lista de sufijos públicos hace que esto sea relativamente fácil, ya que esta lista no cambia muy a menudo.

Esta es una lista de todos los dominios de segundo nivel y nivel superior en los que las personas pueden comprar un nombre de dominio. Por lo tanto, un navegador debe coincidir solo con un nivel más allá de la entrada correspondiente en esta lista para determinar el nombre de dominio que debe usar como origen.

Esto se ha soportado en Firefox para bastante tiempo , y Mozilla ha abierto la lista para Quien quiera usarlo.

    
respondido por el Michael Hampton 13.08.2013 - 02:19
fuente

Lea otras preguntas en las etiquetas