4.1 Security Considerations for status_request_v2

Se un client richiede una risposta OCSP, deve tenere conto del fatto che il server di un attaccante che utilizza una chiave compromessa potrebbe (e probabilmente lo farebbe) fingere di non supportare l'estensione. In questo caso, un client che richiede la convalida OCSP dei certificati DOVREBBE contattare direttamente il server OCSP o interrompere l'handshake.

L'uso dell'estensione della richiesta nonce OCSP (id-pkix-ocsp-nonce) può migliorare la sicurezza contro gli attacchi che tentano di riprodurre le risposte OCSP; vedere la Sezione 4.4.1 di [RFC6960] per ulteriori dettagli.

Questa estensione consente al client di inviare dati arbitrari al server. Gli implementatori del server devono gestire tali dati con attenzione per evitare l'introduzione di vulnerabilità di sicurezza.

Le considerazioni sulla sicurezza di [RFC6960] si applicano alle richieste e risposte OCSP.