Application-Layer Protocol Negotiation

Application-Layer Protocol Negotiation (ALPN) est une extension du protocole Transport Layer Security (TLS) permettant la négociation du protocole de la couche applicative lors de la poignée de mains TLS. Par exemple, si plusieurs applications sont supportées sur un même port TCP ou UDP, cette extension permet à la couche application de négocier quel protocole sera utilisé lors de la poignée de main TLS.

Cette extension est basé sur le protocole Next Protocol Negotiation (NPN) mis au point par Google dans le cadre du développement du protocole SPDY.

La standardisation de ces travaux par l'IETF a conduit au remplacement de NPN par ALPN par la publication de la RFC 7301^[1] le 11 juillet 2014.

Cette extension notamment est utilisée par l'ensemble des navigateurs web supportant le protocole HTTP/2.

Fonctionnement

La négociation est effectuée lors de la poignée de main TLS, qui s'effectue de la manière suivante:

Le client envoie un paquet "ClientHello" indiquant au serveur:
1. Le support de l'extension ALPN
2. Les protocoles supportés ("http/1.1", "h2" par exemple).
Le serveur répond avec un paquet "ServerHello" étendu, indiquant au client:
1. Le support de l'extension ALPN
2. Le protocole applicatif sélectionné
3. Les autres informations nécessaires au chiffrement du canal de communication: certificat, suite cryptographique et termine sa communication par l'envoi d'un paquet "ServerHelloDone".
Le client répond par l'envoi de son certificat ainsi que la suite cryptographique préférée et termine sa communication par l'envoi d'un paquet "Finished".
Le serveur confirme la sélection de la suite cryptographique demandée par le client et termine sa communication par l'envoi d'un paquet "Finished".

Avantages et sécurité

L'intégration de l'extension dans la poignée de main TLS évite les échanges additionnels de paquets. Le support n'implique donc pas de délais supplémentaires lors de l'établissement du canal de communication.

À noter également que, comme pour toutes les extensions TLS, les protocoles supportés par le client et le serveur sont échangés en clair sur le réseau.

Support

L'extension ALPN est prise en charge par ces bibliothèques:

GnuTLS depuis la version 3.2.0, publié en mai 2013^[2].
MatrixSSL depuis la version 3.7.1 publié en décembre 2014^[3].
Network Security Services (NSS) depuis la version 3.15.5 publié en avril 2014^[4].
OpenSSL depuis la version 1.0.2, publié en janvier 2015^[5].
LibreSSL depuis la version 2.1.3 publié en janvier 2015^[6].
mbed TLS (anciennement PolarSSL) depuis la version 1.3.6, publié en avril 2014^[7].
Security Support Provider Interface (SSPI) depuis Windows 8.1 / Windows Server 2012 R2.
s2n, depuis sa première publication en juin 2015.
wolfSSL (anciennement CyaSSL) depuis la version 3.7.0 publié en octobre 2015^[8].

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Application-Layer Protocol Negotiation » (voir la liste des auteurs).

↑ (en) Request for comments n^o 7301
↑ (en) « gnutls 3.2.0 » (consulté le 16 juillet 2016)
↑ (en) « MatrixSSL - News », 4 décembre 2014 (consulté le 16 juillet 2016)
↑ (en) « NSS 3.15.5 release notes », Mozilla Developer Network, Mozilla (consulté le 16 juillet 2016)
↑ (en) « OpenSSL 1.0.2 release notes », The OpenSSL Project, The OpenSSL Project, 22 janvier 2015 (consulté le 16 juillet 2016)
↑ (en) « LibreSSL 2.1.3 released », 22 janvier 2015 (consulté le 16 juillet 2016)
↑ (en) « Download overview - PolarSSL », 11 avril 2014 (consulté le 16 juillet 2016)
↑ (en) « wolfSSL Release Change Log », 26 octobre 2015 (consulté le 16 juillet 2016)

Liens externes

draft-agl-tls-nextprotoneg-04 (brouillon NPN) (dernière mise à jour: 31 octobre 2012)
RFC 7301^[1] "Transport Layer Security (TLS) Application-Layer Protocol Negotiation Extension"

Portail d’Internet

↑ (en) Request for comments n^o 7301

[RFC-7301-1] (en) Request for comments n^o 7301

[GnuTLS-3.2.0-2] (en) « gnutls 3.2.0 » (consulté le 16 juillet 2016)

[MatrixSSL-3.7.1-3] (en) « MatrixSSL - News », 4 décembre 2014 (consulté le 16 juillet 2016)

[NSS-3.15.5-4] (en) « NSS 3.15.5 release notes », Mozilla Developer Network, Mozilla (consulté le 16 juillet 2016)

[OpenSSL-1.0.2-5] (en) « OpenSSL 1.0.2 release notes », The OpenSSL Project, The OpenSSL Project, 22 janvier 2015 (consulté le 16 juillet 2016)

[libressl-2.1.3-6] (en) « LibreSSL 2.1.3 released », 22 janvier 2015 (consulté le 16 juillet 2016)

[PolarSSL-1.3.6-7] (en) « Download overview - PolarSSL », 11 avril 2014 (consulté le 16 juillet 2016)

[ChangeLog-8] (en) « wolfSSL Release Change Log », 26 octobre 2015 (consulté le 16 juillet 2016)

[RFC-7301-9] (en) Request for comments n^o 7301

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[1]