STARTTLSを含むLDAPがLDAPSよりも優れている理由

STARTTLSを含むLDAPがLDAPSよりも優れている理由

STARTTLSを含むLDAPがLDAPSよりも広く使用されている業界標準である理由は疑問に思います。 LDAPSは最初に暗号化された情報を使用して通信を開始しますが、STARTTLSは認証が成功した後にのみ暗号化された接続にアップグレードされます。

答え1

STARTTLSを含むLDAPがLDAPSよりも広く使用されている業界標準である理由は疑問に思います。

そうではありません。 STARTTLSに関する現在のベストプラクティスは次のとおりです。RFC8314:

簡単に言えば、このメモは次のことをお勧めします。 [
...]
トランスポートサーバーとメールアクセスサーバーに接続します。同様のコマンド。

その理由は最後に説明します---https://www.rfc-editor.org/rfc/rfc8314#appendix-A:

STARTTLSはポート専用TLSよりも少し複雑なようですが、CERT(Computer Emergency Readiness Team)バグID#555316 [CERT-555316]の形式のSTARTTLSコマンドインジェクションの脆弱性によって複雑さが少ないことをもう一度学びました。セキュリティ講義。 ])。 STARTTLSには本質的に誤りはありませんが、一般的な実装エラー(複数の実装者が独立して実行)を引き起こすという事実は、暗黙のTLSよりも安全性の低いアーキテクチャであることを示唆しています。

はい、このRFCはLDAPではなくEメールについて話します。ただし、電子メールはSTARTTLSによって開発されたプロトコルであるため、このRFCはLDAPを含むSTARTTLSをサポートするすべてのプロトコルと絶対に関連しています。

私が知る限り、これが(新しい)LDAP RFCに含まれていない不幸な理由は簡単です。まだ誰も邪魔していないからです。悪いことに、人々はこの古い言葉を引用したいと思います。OpenLDAP FAQの記事LDAPSの代わりにSTARTTLSを使用することをお勧めしますが、残念ながら、OpenLDAP FAQが長年維持されておらず、古くて不正確であることを認識していませんでした。

電子メール+STARTTLSと比較したLDAP+STARTTLSのもう1つの欠点:電子メールプロトコルが設計されているため、サーバーは暗号化ネゴシエーション前に認証サポートを宣伝しないため、誤って設定されたクライアントが認証データを明確に送信するのを防ぐことができます。 LDAPプロトコルはこのように設計されていないため、STARTTLSをサポートするLDAPサーバーは、誤って設定されたクライアントが暗号化されていない接続を介して認証データを送信するのを防ぐことができません。

最新情報を知りたい場合は、OpenLDAPメーリングリストの検索逆に、STARTTLSについては特にワイヤー

答え2

STARTTLSは、認証が成功した後にのみ暗号化された接続にアップグレードします。

確かですか? SMTPの場合、TLSは最初に開始され、暗号化された接続を介して認証が実行されます。これLDAPが同じように動作することをお勧めします。

この値は、STARTTLS暗号化を必要とするすべてのサーバー側トラフィックに対してSTARTTLS暗号化を有効にします。この場合、BIG-IPシステムは接続が成功したときにSTARTTLSを有効にします。

一般的にSTARTTLSについて:

STARTTLSを含むLDAPがLDAPSよりも広く使用されている業界標準である理由は疑問に思います。

常に暗号化された接続を使用するのではなくSTARTTLSを使用する理由は次のとおりです。

  • STARTTLSをサポートしていないクライアントは依然として接続され、ユーザーに表示されるプロトコル有効エラーを受け取ることがあります。暗号化をサポートしていないクライアントはLDAPSサーバーにまったく接続できません。これは、TLSが必要なときにSTARTTLSがより良い診断を提供できることを意味します。
  • さらに、STARTTLSはTLSが必要でクライアントがそれをサポートしていますが、何らかの理由でハンドシェイクが失敗した場合にはより良い診断を提供します。
  • STARTTLSはオプションです。その場合、単一ポートは暗号化されたクライアントとプレーンテキストクライアントの両方を提供します。 LDAPSを使用する場合、クライアントは正しいポートを取得する必要があります。それ以外の場合、接続は失敗します。

関連情報