4.1 Security Considerations for status_request_v2

Wenn ein Client eine OCSP-Response anfordert, muss er berücksichtigen, dass der Server eines Angreifers, der einen kompromittierten Schlüssel verwendet, vorgeben könnte (und wahrscheinlich würde), die Erweiterung nicht zu unterstützen. In diesem Fall SOLLTE ein Client, der eine OCSP-Validierung von Zertifikaten benötigt, entweder direkt Kontakt mit dem OCSP-Server aufnehmen oder den Handshake abbrechen.

Die Verwendung der OCSP-Nonce-Request-Extension (id-pkix-ocsp-nonce) kann die Sicherheit gegen Angriffe verbessern, die versuchen, OCSP-Responses wiederzugeben; siehe Abschnitt 4.4.1 von [RFC6960] für weitere Details.

Diese Erweiterung erlaubt es dem Client, beliebige Daten an den Server zu senden. Die Server-Implementierer müssen solche Daten sorgfältig behandeln, um die Einführung von Sicherheitsschwachstellen zu vermeiden.

Die Sicherheitsüberlegungen von [RFC6960] gelten für OCSP-Anfragen und -Responses.