Zum Hauptinhalt springen

8. TLS Requirements (TLS-Anforderungen)

Die Verwendung von TLS [RFC2818] ist in vielen JWS-Anwendungen erforderlich, um Daten während der Übertragung zu schützen. Die verwendete TLS-Version sollte die neuesten Empfehlungen widerspiegeln, die zum Zeitpunkt der Implementierung verfügbar sind.

Um eine maximale Interoperabilität zu gewährleisten, sollten Implementierungen TLS Version 1.2 [RFC5246] oder höher unterstützen. Frühere Versionen von TLS sollten vermieden werden, da sie bekannte Sicherheitsschwachstellen aufweisen.

Wenn TLS verwendet wird:

  • TLS MUSS mit Cipher Suites konfiguriert werden, die Forward Secrecy bieten.
  • TLS MUSS mit Server-Authentifizierung konfiguriert werden.
  • Client-Authentifizierung kann je nach Anforderungen der Anwendung optional sein.

Implementierer sollten sich der aktuellen Best Practices für TLS-Konfiguration bewusst sein, wie sie in RFC 7525 [RFC7525] und ähnlichen Dokumenten beschrieben sind.

Secure Sockets Layer (SSL) Version 2.0 [RFC6176] darf (MUST NOT) verwendet werden. SSL Version 3.0 sollte aus Sicherheitsgründen ebenfalls vermieden werden.

Letztes Update am