8. TLS Requirements (Requisiti TLS)
8. TLS Requirements (Requisiti TLS)
Le implementazioni client che supportano il metodo Request Object URI DEVONO supportare TLS secondo "Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)" [RFC7525].
Per proteggere da divulgazione e manomissione, la riservatezza DEVE essere applicata con TLS e una suite che fornisca riservatezza e integrità.
I client HTTP DEVONO inoltre verificare il certificato del server TLS usando DNS-ID [RFC6125] per evitare attacchi man-in-the-middle. Si applicano [RFC6125] con queste considerazioni:
-
È RICHIESTO il supporto del tipo di identificatore DNS-ID (dNSName in subjectAltName). Le CA che emettono certificati server DEVONO supportare DNS-ID e DNS-ID DEVE essere presente nei certificati server.
-
I nomi DNS nei certificati server POSSONO contenere il carattere jolly
*. -
I client NON DEVONO usare identificatori CN-ID; il campo CN può essere presente ma NON DEVE essere usato per l'autenticazione secondo [RFC7525].
-
SRV-ID e URI-ID come nella sezione 6.5 di [RFC6125] NON DEVONO essere usati per il confronto.