Passa al contenuto principale

8. TLS Requirements (Requisiti TLS)

L'uso di TLS [RFC2818] è richiesto in molte applicazioni JWS per proteggere i dati durante il transito. La versione TLS utilizzata dovrebbe riflettere le ultime raccomandazioni disponibili al momento dell'implementazione.

Per garantire la massima interoperabilità, le implementazioni dovrebbero supportare TLS versione 1.2 [RFC5246] o superiore. Le versioni precedenti di TLS dovrebbero essere evitate poiché presentano vulnerabilità di sicurezza note.

Quando si utilizza TLS:

  • TLS DEVE essere configurato con cipher suite che forniscono forward secrecy.
  • TLS DEVE essere configurato con autenticazione del server.
  • L'autenticazione del client può essere opzionale a seconda dei requisiti dell'applicazione.

Gli implementatori dovrebbero essere consapevoli delle best practice correnti per la configurazione TLS, come descritto in RFC 7525 [RFC7525] e documenti simili.

Secure Sockets Layer (SSL) versione 2.0 [RFC6176] NON DEVE essere utilizzato. SSL versione 3.0 dovrebbe anche essere evitato per motivi di sicurezza.

Ultimo aggiornamento il