7.2. Certificate Thumbprint Binding (Fingerprint-Bindung)

7.2 Certificate Thumbprint Binding (Fingerprint-Bindung)

Die in Abschnitt 3.1 spezifizierte Bindung zwischen Zertifikat und Access Token nutzt einen kryptografischen Hash des Zertifikats. Sie setzt ausreichende Zweit-Präimage-Resistenz der Hashfunktion voraus. SHA-256 erfüllt diese Anforderung und ist weit verbreitet. Sollten künftig andere Hashfunktionen nötig sein, sollten zusätzliche JWT-Bestätigungsmethoden-Mitglieder definiert und im IANA-Registry „JWT Confirmation Methods“ [IANA.JWT.Claims] für JWT-cnf-Werte registriert werden.

Erkenntnisse zu Algorithmenstärke und Angriffen können sich schnell ändern; Sicherheitsdokumente sind Momentaufnahmen. Leser sollten Errata und Aktualisierungen suchen.