RFC 7525 - Empfehlungen für die sichere Nutzung von Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS)

• Status: Best Current Practice
• Veröffentlicht: May 2015
• Stream: IETF
• Ersetzt durch: RFC9325
• Errata: Keine Errata

---

Dokumentinformationen

• RFC-Nummer: 7525
• Kategorie: Best Current Practice (BCP 195)
• Veröffentlicht: Mai 2015
• Autoren: Y. Sheffer (Intuit), R. Holz (NICTA), P. Saint-Andre (&yet)
• ISSN: 2070-1721

Abstract (Zusammenfassung)

Transport Layer Security (TLS) und Datagram Transport Layer Security (DTLS) werden weithin zum Schutz von Daten verwendet, die über Anwendungsprotokolle wie HTTP, SMTP, IMAP, POP, SIP und XMPP ausgetauscht werden. In den letzten Jahren sind mehrere schwerwiegende Angriffe auf TLS aufgetreten, einschließlich Angriffe auf die am häufigsten verwendeten Cipher-Suiten und deren Betriebsmodi. Dieses Dokument bietet Empfehlungen zur Verbesserung der Sicherheit eingesetzter Dienste, die TLS und DTLS verwenden. Die Empfehlungen sind auf die Mehrheit der Anwendungsfälle anwendbar.

Status of This Memo (Status dieses Dokuments)

Dieses Dokument dokumentiert eine Internet Best Current Practice.

Dieses Dokument ist ein Produkt der Internet Engineering Task Force (IETF). Es repräsentiert den Konsens der IETF-Community. Es wurde öffentlich begutachtet und zur Veröffentlichung durch die Internet Engineering Steering Group (IESG) genehmigt. Weitere Informationen zu BCPs sind in Abschnitt 2 von RFC 5741 verfügbar.

Informationen über den aktuellen Status dieses Dokuments, Errata und wie Feedback gegeben werden kann, sind unter http://www.rfc-editor.org/info/rfc7525 verfügbar.

Copyright Notice (Urheberrechtshinweis)

Copyright (c) 2015 IETF Trust und die als Dokumentautoren identifizierten Personen. Alle Rechte vorbehalten.

Dieses Dokument unterliegt BCP 78 und den IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info), die zum Zeitpunkt der Veröffentlichung dieses Dokuments gültig sind. Bitte lesen Sie diese Dokumente sorgfältig durch, da sie Ihre Rechte und Einschränkungen in Bezug auf dieses Dokument beschreiben. Code-Komponenten, die aus diesem Dokument extrahiert wurden, müssen den vereinfachten BSD-Lizenztext enthalten, wie in Abschnitt 4.e der Trust Legal Provisions beschrieben, und werden ohne Garantie bereitgestellt, wie in der vereinfachten BSD-Lizenz beschrieben.

Contents (Inhaltsverzeichnis)

• 1. Introduction (Einführung)
• 2. Terminology (Terminologie)
• 3. General Recommendations (Allgemeine Empfehlungen)
  • 3.1 Protocol Versions (Protokollversionen)
  • 3.2 Strict TLS
  • 3.3 Compression (Komprimierung)
  • 3.4 TLS Session Resumption
  • 3.5 TLS Renegotiation
  • 3.6 Server Name Indication
• 4. Recommendations: Cipher Suites (Empfehlungen: Cipher-Suiten)
  • 4.1 General Guidelines (Allgemeine Richtlinien)
  • 4.2 Recommended Cipher Suites (Empfohlene Cipher-Suiten)
  • 4.3 Public Key Length (Länge öffentlicher Schlüssel)
  • 4.4 Modular Exponential vs. Elliptic Curve DH Cipher Suites
  • 4.5 Truncated HMAC
• 5. Applicability Statement (Anwendbarkeitserklärung)
  • 5.1 Security Services (Sicherheitsdienste)
  • 5.2 Opportunistic Security
• 6. Security Considerations (Sicherheitserwägungen)
  • 6.1 Host Name Validation (Hostnamen-Validierung)
  • 6.2 AES-GCM
  • 6.3 Forward Secrecy
  • 6.4 Diffie-Hellman Exponent Reuse
  • 6.5 Certificate Revocation (Zertifikatswiderruf)
• 7. References (Referenzen)
  • 7.1 Normative References
  • 7.2 Informative References
• Acknowledgments (Danksagungen)
• Authors' Addresses (Adressen der Autoren)