Passa al contenuto principale

Appendice A. Differenze rispetto alla RFC 7525

Questa revisione della Best Current Practice contiene numerosi cambiamenti, e questa sezione si concentra sui cambiamenti normativi.

La differenza più importante è che questo documento incoraggia l'uso di TLS 1.3 [RFC8446] come raccomandazione principale, pur consentendo ancora l'uso di TLS 1.2 [RFC5246]. Al contrario, la raccomandazione principale della [RFC7525] era di seguire TLS 1.2, che era la versione più recente definita dall'IETF in quel momento.

In formato sommario, i cambiamenti riguardanti TLS 1.2 sono i seguenti:

  • Sicurezza opportunistica: Il riferimento alle raccomandazioni di sicurezza opportunistica [RFC7435] è stato rimosso dalla Sezione 5.2.
  • Supporto per TLS 1.0 e 1.1: NON DEVONO (MUST NOT) essere supportati, invece di NON DOVREBBERO (SHOULD NOT). Ciò rende inutile il meccanismo SCSV per la protezione dal downgrade [RFC7507].
  • Fallback: Divieto di fallback a versioni precedenti di TLS.
  • Strict TLS: Il supporto HSTS [RFC6797] è ora un requisito (DEVE/MUST), invece di una raccomandazione (DOVREBBE/SHOULD).
  • Ripresa della sessione: Rotazione regolare delle chiavi di cifratura dei ticket richiesta (DEVE/MUST), invece di raccomandata (DOVREBBE/SHOULD).
  • Rinegoziazione: Supporto e utilizzo dell'estensione renegotiation_info [RFC5746] richiesti (DEVE/MUST), precedentemente fortemente raccomandati.
  • Extended Master Secret: Supporto dell'estensione extended_master_secret [RFC7627] richiesto (DEVE/MUST), precedentemente raccomandato (RECOMMENDED).
  • SNI: Supporto di Server Name Indication (SNI) [RFC6066] richiesto (DEVE/MUST), precedentemente raccomandato (RECOMMENDED).
  • ALPN: Supporto di Application-Layer Protocol Negotiation (ALPN) [RFC7301] richiesto (DEVE/MUST).
  • Compressione: La compressione a livello TLS DOVREBBE (SHOULD) essere disabilita.
  • RC4: Le suite di cifratura RC4 NON DEVONO (MUST NOT) essere negoziate. Precedentemente, NON DOVEVANO (SHOULD NOT) essere utilizzate.
  • Chiavi statiche: Le suite di cifratura RSA statiche e DH statiche NON DOVREBBERO (SHOULD NOT) essere negoziate.
  • Forward Secrecy: Supporto e preferenza delle suite di cifratura che offrono forward secrecy richiesti (DEVE/MUST), precedentemente raccomandati (RECOMMENDED).
  • 3DES: 3DES non è più raccomandato.
  • Forza della suite di cifratura: Le suite di cifratura che offrono meno di 112 bit di sicurezza NON DEVONO (MUST NOT) essere negoziate.
  • Modalità CCM: Le suite di cifratura basate su AES-CCM sono ora raccomandate (RECOMMENDED).
  • Lunghezza della chiave RSA: Utilizzo di chiavi RSA di almeno 2048 bit richiesto (DEVE/MUST), precedentemente raccomandato (RECOMMENDED).
  • Curve ECDH: Utilizzo di curve di almeno 224 bit richiesto (DEVE/MUST).
  • SHA-256: Utilizzo di SHA-256 per le firme raccomandato (RECOMMENDED).
  • HMAC troncato: Utilizzo dell'estensione HMAC troncato vietato (NON DEVE/MUST NOT).
  • Convalida del nome host: La convalida del nome host è ora richiesta (DEVE/MUST).
  • Protezione dagli attacchi temporali: Raccomandazione di rendere costante il tempo di gestione degli errori per prevenire attacchi temporali.
  • 0-RTT: Aggiunte raccomandazioni riguardanti i dati 0-RTT.

Oltre a questi cambiamenti, in tutto il documento sono stati aggiunti riferimenti alle moderne tecniche di crittoanalisi e attacco (come ALPACA, RACCOON, Logjam, ecc.) e le raccomandazioni sono state aggiornate di conseguenza.

Ultimo aggiornamento il