Aller au contenu principal

3.3. Compression

Afin d'aider à prévenir les attaques liées à la compression (résumées dans la Section 2.6 de [RFC7457]), les implémentations et les déploiements DEVRAIENT désactiver la compression au niveau TLS (Section 6.2.2 de [RFC5246]), à moins que le protocole applicatif en question ne se soit avéré ne pas être exposé à de telles attaques.

Justification: La compression TLS a fait l'objet d'attaques de sécurité, telles que l'attaque CRIME.

Les implémenteurs doivent noter que la compression aux niveaux de protocole supérieurs peut permettre à un attaquant actif d'extraire des informations en clair de la connexion. L'attaque BREACH en est un exemple. Ces problèmes ne peuvent être atténués qu'en dehors de TLS et sont donc hors du champ d'application de ce document. Voir la Section 2.6 de [RFC7457] pour plus de détails.

Dernière mise à jour le