4.1 Security Considerations for status_request_v2

Si un client demande une réponse OCSP, il doit prendre en compte qu'un serveur d'attaquant utilisant une clé compromise pourrait (et probablement le ferait) prétendre ne pas prendre en charge l'extension. Dans ce cas, un client qui exige la validation OCSP des certificats DEVRAIT soit contacter directement le serveur OCSP, soit abandonner la poignée de main.

L'utilisation de l'extension de requête nonce OCSP (id-pkix-ocsp-nonce) PEUT améliorer la sécurité contre les attaques qui tentent de rejouer des réponses OCSP ; voir la section 4.4.1 de [RFC6960] pour plus de détails.

Cette extension permet au client d'envoyer des données arbitraires au serveur. Les implémenteurs du serveur doivent gérer de telles données avec précaution pour éviter d'introduire des vulnérabilités de sécurité.

Les considérations de sécurité de [RFC6960] s'appliquent aux requêtes et réponses OCSP.