3.3 Compression (Komprimierung)

3.3 Compression (Komprimierung)

Um komprimierungsbezogene Angriffe zu verhindern (zusammengefasst in Abschnitt 2.6 von [RFC7457]), SOLLTEN Implementierungen und Einsätze die TLS-Ebenen-Komprimierung (Abschnitt 6.2.2 von [RFC5246]) deaktivieren, es sei denn, das betreffende Anwendungsprotokoll wurde nachweislich nicht für solche Angriffe anfällig gezeigt.

Begründung: TLS-Komprimierung war Gegenstand von Sicherheitsangriffen wie dem CRIME-Angriff.

Implementierer sollten beachten, dass Komprimierung auf höheren Protokollebenen es einem aktiven Angreifer ermöglichen kann, Klartext-Informationen aus der Verbindung zu extrahieren. Der BREACH-Angriff ist ein solcher Fall. Diese Probleme können nur außerhalb von TLS gemildert werden und liegen daher außerhalb des Geltungsbereichs dieses Dokuments. Siehe Abschnitt 2.6 von [RFC7457] für weitere Details.