standards

在「NTS is now an RFC」這邊看到 Network Time Security 成為 IETF 的標準了：「Network Time Security for the Network Time Protocol」。

這個標準比較特別的是，因為 TLS 裡對 certificate 的驗證需要先有正確的時間，而導致 NTP 直接套用 TLS 會有「先有雞還是先有蛋」這樣的問題出現。這點在「8.5. Initial Verification of Server Certificates」這個章節裡面被討論到：

However, the expectation that the client does not yet have a correctly-set system clock at the time of certificate verification presents difficulties with verifying that the certificate is within its validity period, i.e., that the current time lies between the times specified in the certificate's notBefore and notAfter fields.

看起來還是頗複雜，但至少先給個方法出來了...

這邊講的是因為 Let's Encrypt 所發明的 ACME 協定，可以協助自動化發憑證的協定。

剛剛看到「Automatic Certificate Management Environment (ACME)」這個頁面，上面標 PROPOSED STANDARD，但點進去的 txt 檔開頭則是 Standards Track 了：

Internet Engineering Task Force (IETF)                         R. Barnes
Request for Comments: 8555                                         Cisco
Category: Standards Track                             J. Hoffman-Andrews
ISSN: 2070-1721                                                      EFF
                                                             D. McCarney
                                                           Let's Encrypt
                                                               J. Kasten
                                                  University of Michigan
                                                              March 2019

不知道是不是兩邊不同步 (或是我對流程有誤會？)，但這有一個標準文件可以參考了...

Tag: standards

Network Time Security 正式成為 IETF 標準

ACME，RFC 8555