Application-Layer Protocol Negotiation (ALPN) est une extension du protocole Transport Layer Security (TLS) permettant la négociation du protocole de la couche applicative lors de la poignée de mains TLS. Par exemple, si plusieurs applications sont supportées sur un même port TCP ou UDP, cette extension permet à la couche application de négocier quel protocole sera utilisé lors de la poignée de main TLS.
Cette extension est basée sur le protocole Next Protocol Negotiation (NPN) mis au point par Google dans le cadre du développement du protocole SPDY.
La standardisation de ces travaux par l'IETF a conduit au remplacement de NPN par ALPN par la publication de la RFC 7301[1] le .
Cette extension notamment est utilisée par l'ensemble des navigateurs web supportant le protocole HTTP/2.
Fonctionnement
La négociation est effectuée lors de la poignée de main TLS, qui s'effectue de la manière suivante:
- Le client envoie un paquet "ClientHello" indiquant au serveur:
- Le support de l'extension ALPN
- Les protocoles supportés ("http/1.1", "h2" par exemple).
- Le serveur répond avec un paquet "ServerHello" étendu, indiquant au client:
- Le support de l'extension ALPN
- Le protocole applicatif sélectionné
- Les autres informations nécessaires au chiffrement du canal de communication: certificat, suite cryptographique et termine sa communication par l'envoi d'un paquet "ServerHelloDone".
- Le client répond par l'envoi de son certificat ainsi que la suite cryptographique préférée et termine sa communication par l'envoi d'un paquet "Finished".
- Le serveur confirme la sélection de la suite cryptographique demandée par le client et termine sa communication par l'envoi d'un paquet "Finished".
Avantages et sécurité
L'intégration de l'extension dans la poignée de main TLS évite les échanges additionnels de paquets. Le support n'implique donc pas de délais supplémentaires lors de l'établissement du canal de communication.
À noter également que, comme pour toutes les extensions TLS, les protocoles supportés par le client et le serveur sont échangés en clair sur le réseau.
Support
L'extension ALPN est prise en charge par ces bibliothèques:
- GnuTLS depuis la version 3.2.0, publié en [2].
- MatrixSSL depuis la version 3.7.1 publié en [3].
- Network Security Services (NSS) depuis la version 3.15.5 publié en [4].
- OpenSSL depuis la version 1.0.2, publié en [5].
- LibreSSL depuis la version 2.1.3 publié en [6].
- mbed TLS (anciennement PolarSSL) depuis la version 1.3.6, publié en [7].
- Security Support Provider Interface (SSPI) depuis Windows 8.1 / Windows Server 2012 R2.
- s2n, depuis sa première publication en .
- wolfSSL (anciennement CyaSSL) depuis la version 3.7.0 publié en [8].
Notes et références
- ↑ (en) Request for comments no 7301
- ↑ (en) « gnutls 3.2.0 » (consulté le )
- ↑ (en) « MatrixSSL - News », (consulté le )
- ↑ (en) « NSS 3.15.5 release notes », Mozilla Developer Network, Mozilla (consulté le )
- ↑ (en) « OpenSSL 1.0.2 release notes », The OpenSSL Project, The OpenSSL Project, (consulté le )
- ↑ (en) « LibreSSL 2.1.3 released », (consulté le )
- ↑ (en) « Download overview - PolarSSL », (consulté le )
- ↑ (en) « wolfSSL Release Change Log », (consulté le )
Liens externes
- draft-agl-tls-nextprotoneg-04 (brouillon NPN) (dernière mise à jour: )
- RFC 7301[1] "Transport Layer Security (TLS) Application-Layer Protocol Negotiation Extension"
