1. Introduzione
1. Introduzione
TLS 1.3 [RFC8446] ha rimosso il supporto per RSASSA-PKCS1-v1_5 [RFC8017] nei messaggi CertificateVerify a favore di RSASSA-PSS. Sebbene RSASSA-PSS sia consolidato da tempo, alcuni dispositivi crittografici hardware legacy non lo supportano. Questi dispositivi sono rari nei server TLS, ma i client TLS talvolta li usano per certificati client.
I Trusted Platform Module (TPM), per esempio, sono spesso usati per proteggere le chiavi private dei certificati client TLS. Molti TPM non possono produrre firme RSASSA-PSS compatibili con TLS 1.3. Le specifiche TPM precedenti alla 2.0 non definivano il supporto RSASSA-PSS, e i dispositivi TPM 2.0 possono essere considerati affidabili per lunghezze di salt compatibili con TLS 1.3 solo quando sono compatibili con US FIPS 186-4.
Le distribuzioni che restano su TLS 1.2 rivelano certificati client agli attaccanti di rete [PRIVACY] e non possono proteggere il traffico dalla decrittazione retroattiva da parte di un attaccante con un computer quantistico [RFC9954]. TLS inoltre negozia le versioni prima dei certificati client, quindi un client e un server possono negoziare TLS 1.3 per poi fallire più tardi perché il client ha una chiave legacy.
Disabilitare TLS 1.3 influisce su connessioni altrimenti non impattate, mentre meccanismi di fallback esterni rompono l'analisi di sicurezza di TLS e possono introdurre vulnerabilità [POODLE]. Questo documento assegna code point per usare queste chiavi legacy con certificati client in TLS 1.3, riducendo la pressione a scegliere tali mitigazioni e sbloccando la distribuzione di TLS 1.3.