TLS 起源最佳实践 - 凯南 · 奥尼尔

IstioCon凯南·奥尼尔TLS起源最佳实践

核心观点与关键数据

TLS始发安全默认情况下的不足

• 证书验证问题：默认情况下，TLS始发不会检查证书是否由系统信任的CA签名，且SAN DNS名称未验证。
• SNI未发送：SNI未发送到预期服务器。

Istio设计灵活性带来的成本

• DestinationRule配置成本：Istio的灵活性在配置DestinationRule时会产生成本。

CA证书包配置

• 指定CA证书包：用于验证证书的CA证书包需明确指定，如/etc/ssl/certs/ca-certificates.crt。
• spec.host：指定主机名，如self-signed.badssl.com。
• trafficPolicy.tls.mode：设置为SIMPLE。
• caCertificates：指定CA证书路径。
• subjectAltNames：颁发证书的主机名，如\"wrong.host.badssl.com\"。
• sni：服务请求与之交谈的主机名，如self-signed.badssl.com。

ServiceEntry行为注意事项

• 指定SANs：服务入口也可指定SANs，但目标规则中的SAN会覆盖所有服务入口中的SAN。
• 验证SAN匹配：必须在目标规则中指定证书以验证SAN是否与主机匹配。

客户端验证证书

• 自动设置CA证书包：系统会检查列表中的第一个证书包，可通过明确设置进行覆盖。
• 适用模式：仅适用于简单或相互TLS模式。
• 设置方法：通过Helm yaml文件设置VERIFY_CERTIFICATE_AT_CLIENT = true。

测试方法

• 测试对象：不受信任的根证书、自签名证书、不同主机的证书。

正在完成的工作

• 改进VERIFY_CERTIFICATE_AT_CLIENT：Faseela K.正努力改进以包括auto_san和auto_sni。

未来展望

• 欢迎更多贡献：Istio欢迎更多贡献以改善用户安全性与使用便捷性。