3.3 Compression (Compressione)

3.3 Compression (Compressione)

Al fine di aiutare a prevenire attacchi correlati alla compressione (riassunti nella Sezione 2.6 di [RFC7457]), le implementazioni e le distribuzioni DOVREBBERO disabilitare la compressione a livello TLS (Sezione 6.2.2 di [RFC5246]), a meno che il protocollo applicativo in questione non sia stato dimostrato non essere aperto a tali attacchi.

Motivazione: La compressione TLS è stata soggetta ad attacchi di sicurezza, come l'attacco CRIME.

Gli implementatori dovrebbero notare che la compressione a livelli di protocollo superiori può consentire a un attaccante attivo di estrarre informazioni in chiaro dalla connessione. L'attacco BREACH è uno di questi casi. Questi problemi possono essere mitigati solo al di fuori di TLS e quindi sono al di fuori dello scopo di questo documento. Vedere la Sezione 2.6 di [RFC7457] per ulteriori dettagli.