4. Sicherheitsüberlegungen (Security Considerations)

Clients, die dem Inhalt des ORIGIN-Frames blind vertrauen, sind anfällig für eine Vielzahl von Angriffen. Siehe Abschnitt 2.4 für Gegenmaßnahmen.

Die Lockerung der Anforderung, DNS zu konsultieren, wenn die Autorität für einen Ursprung bestimmt wird, bedeutet, dass ein Angreifer, der ein gültiges Zertifikat besitzt, nicht mehr auf dem Pfad sein muss, um den Verkehr auf sich umzuleiten; anstatt DNS zu ändern, müssen sie den Benutzer nur davon überzeugen, eine andere Website zu besuchen, um Verbindungen zum Ziel auf ihre bestehende Verbindung zusammenzuführen (coalesce).

Infolgedessen sollten Clients, die sich entscheiden, DNS nicht zu konsultieren, einige alternative Mittel einsetzen, um ein hohes Maß an Vertrauen in die Rechtmäßigkeit des Zertifikats zu schaffen. Beispielsweise könnten Clients die Konsultation von DNS nur überspringen, wenn sie einen Nachweis über die Aufnahme in ein Certificate Transparency-Log [RFC6962] erhalten oder wenn sie eine aktuelle Online Certificate Status Protocol (OCSP)-Antwort [RFC6960] haben (möglicherweise unter Verwendung der "status_request" TLS-Erweiterung [RFC6066]), die zeigt, dass das Zertifikat nicht widerrufen wurde.

Die Größe des Origin-Sets ist durch diese Spezifikation unbegrenzt und könnte daher von Angreifern verwendet werden, um Client-Ressourcen zu erschöpfen. Um dieses Risiko zu mindern, können Clients ihre Zustandsverpflichtung überwachen und die Verbindung schließen, wenn sie zu hoch ist.