8. TLS Requirements (TLS-Anforderungen)
8. TLS Requirements (TLS-Anforderungen)
Client-Implementierungen, die die Request-Object-URI-Methode unterstützen, MÜSSEN TLS gemäß „Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)“ [RFC7525] unterstützen.
Zum Schutz vor Informationspreisgabe und Manipulation MUSS Vertraulichkeit mit TLS und einer Cipher Suite angewendet werden, die Vertraulichkeit und Integrität bietet.
HTTP-Clients MÜSSEN außerdem das TLS-Serverzertifikat unter Verwendung von DNS-ID [RFC6125] prüfen, um Man-in-the-Middle-Angriffe zu vermeiden. Die in [RFC6125] definierten Regeln und Leitlinien gelten hier mit folgenden Ergänzungen:
-
Unterstützung des DNS-ID-Identifier-Typs (d. h. dNSName-Identität in der subjectAltName-Erweiterung) ist ERFORDERLICH. Zertifizierungsstellen, die Serverzertifikate ausstellen, MÜSSEN den DNS-ID-Identifier-Typ unterstützen, und der DNS-ID-Identifier-Typ MUSS in Serverzertifikaten vorhanden sein.
-
DNS-Namen in Serverzertifikaten DÜRFEN das Platzhalterzeichen
*enthalten. -
Clients DÜRFEN CN-Identifier nicht verwenden; ein Common-Name-Feld (CN-Feld) DARF im Subjektnamen des Serverzertifikats vorhanden sein, darf aber NICHT für die Authentifizierung nach den in [RFC7525] beschriebenen Regeln genutzt werden.
-
SRV-ID und URI-ID wie in Abschnitt 6.5 von [RFC6125] beschrieben DÜRFEN NICHT für den Vergleich verwendet werden.