7.2. Certificate Thumbprint Binding (Vincolo tramite impronta del certificato)

7.2 Certificate Thumbprint Binding (Vincolo tramite impronta del certificato)

Il legame tra certificato e access token specificato nella Sezione 3.1 usa un hash crittografico del certificato. Si affida al fatto che la funzione di hash abbia sufficiente resistenza alle seconde preimmagini, in modo da rendere computazionalmente infattibile trovare o creare un altro certificato che produca lo stesso valore di output dell'hash. È stata usata la funzione di hash SHA-256 perché soddisfa il requisito summenzionato ed è ampiamente disponibile. Se in futuro le impronte di certificato dovessero essere calcolate con funzioni di hash diverse da SHA-256, si suggerisce che, per ulteriori metodi di conferma JWT correlati, siano definiti membri a tale scopo e registrati nel registro IANA « JWT Confirmation Methods » [IANA.JWT.Claims] per i valori del membro JWT cnf.

La conoscenza della comunità sulla robustezza di vari algoritmi e sugli attacchi realizzabili può mutare rapidamente, e l'esperienza mostra che un documento sulla sicurezza è una dichiarazione valida in un dato istante. Si consiglia ai lettori di cercare eventuali errata o aggiornamenti applicabili al presente documento.