Zum Hauptinhalt springen

Anhang A. Unterschiede zu RFC 7525

Diese Überarbeitung der Best Current Practice enthält zahlreiche Änderungen, und dieser Abschnitt konzentriert sich auf die normativen Änderungen.

Der wichtigste Unterschied besteht darin, dass dieses Dokument die Verwendung von TLS 1.3 [RFC8446] als Hauptempfehlung fördert, während die Verwendung von TLS 1.2 [RFC5246] weiterhin zulässig ist. Im Gegensatz dazu bestand die Hauptempfehlung von [RFC7525] darin, TLS 1.2 zu folgen, was die damals neueste von der IETF definierte Version war.

Im zusammenfassenden Format sind die Änderungen bezüglich TLS 1.2 wie folgt:

  • Opportunistische Sicherheit: Der Verweis auf die Empfehlungen zur opportunistischen Sicherheit [RFC7435] wurde aus Abschnitt 5.2 entfernt.
  • Unterstützung für TLS 1.0 und 1.1: Diese MÜSSEN NICHT (MUST NOT) unterstützt werden, anstelle von SOLLTEN NICHT (SHOULD NOT). Dies macht den Downgrade Protection SCSV-Mechanismus [RFC7507] nutzlos.
  • Fallback: Verbot des Fallbacks auf frühere TLS-Versionen.
  • Strict TLS: HSTS-Unterstützung [RFC6797] ist jetzt eine Anforderung (MUSS/MUST), anstelle einer Empfehlung (SOLLTE/SHOULD).
  • Sitzungswiederaufnahme: Regelmäßige Rotation von Ticketverschlüsselungsschlüsseln erforderlich (MUSS/MUST), anstelle von empfohlen (SOLLTE/SHOULD).
  • Neuverhandlung: Unterstützung und Nutzung der renegotiation_info-Erweiterung [RFC5746] erforderlich (MUSS/MUST), zuvor stark empfohlen.
  • Extended Master Secret: Unterstützung der extended_master_secret-Erweiterung [RFC7627] erforderlich (MUSS/MUST), zuvor empfohlen (RECOMMENDED).
  • SNI: Unterstützung von Server Name Indication (SNI) [RFC6066] erforderlich (MUSS/MUST), zuvor empfohlen (RECOMMENDED).
  • ALPN: Unterstützung von Application-Layer Protocol Negotiation (ALPN) [RFC7301] erforderlich (MUSS/MUST).
  • Komprimierung: Komprimierung auf TLS-Ebene SOLLTE (SHOULD) deaktiviert werden.
  • RC4: RC4-Cipher-Suites DÜRFEN NICHT (MUST NOT) ausgehandelt werden. Zuvor SOLLTEN sie NICHT (SHOULD NOT) verwendet werden.
  • Statische Schlüssel: Statische RSA- und statische DH-Cipher-Suites SOLLTEN NICHT (SHOULD NOT) ausgehandelt werden.
  • Forward Secrecy: Unterstützung und Bevorzugung von Cipher-Suites, die Forward Secrecy bieten, erforderlich (MUSS/MUST), zuvor empfohlen (RECOMMENDED).
  • 3DES: 3DES wird nicht mehr empfohlen.
  • Cipher-Suite-Stärke: Cipher-Suites, die weniger als 112 Bit Sicherheit bieten, DÜRFEN NICHT (MUST NOT) ausgehandelt werden.
  • CCM-Modus: Cipher-Suites basierend auf AES-CCM werden jetzt empfohlen (RECOMMENDED).
  • RSA-Schlüssellänge: Verwendung von mindestens 2048-Bit RSA-Schlüsseln erforderlich (MUSS/MUST), zuvor empfohlen (RECOMMENDED).
  • ECDH-Kurven: Verwendung von Kurven mit mindestens 224 Bit erforderlich (MUSS/MUST).
  • SHA-256: Verwendung von SHA-256 für Signaturen empfohlen (RECOMMENDED).
  • Abgeschnittener HMAC: Verwendung der Erweiterung für abgeschnittenen HMAC verboten (DARF NICHT/MUST NOT).
  • Hostnamenvalidierung: Hostnamenvalidierung ist jetzt erforderlich (MUSS/MUST).
  • Timing-Angriffsschutz: Empfehlung, die Fehlerbehandlungszeit konstant zu halten, um Timing-Angriffe zu verhindern.
  • 0-RTT: Empfehlungen zu 0-RTT-Daten hinzugefügt.

Zusätzlich zu diesen Änderungen wurden im gesamten Dokument Verweise auf moderne Kryptoanalyse- und Angriffstechniken (wie ALPACA, RACCOON, Logjam usw.) hinzugefügt und die Empfehlungen entsprechend aktualisiert.

Letztes Update am