5. Security Considerations (セキュリティに関する考慮事項)

このサービスが有効であるためには、証明書を使用するシステムは証明書ステータスサービスプロバイダーに接続しなければならない。そのような接続が得られない場合、証明書を使用するシステムは、フォールバックポジションとして CRL 処理ロジックを実装することができる。

大量のクエリに関しては、Denial of Service (サービス拒否) に対する脆弱性が明らかである。暗号署名の生成は応答生成サイクルタイムに大きく影響するため、状況を悪化させる。署名されていないエラー応答は、攻撃者が偽のエラー応答を送信する別のサービス拒否攻撃へのプロトコルを開くことになる。

事前計算された応答の使用は、古い（正当な）応答が有効期限切れ前であるが、証明書が失効した後で再生されるリプレイ攻撃 (replay attacks) を可能にする。OCSP の展開では、事前計算された応答の利点を、リプレイ攻撃の確率およびその実行成功に関連するコストと比較して慎重に評価すべきである。

リクエストには、それらが向けられているレスポンダが含まれていない。これにより、攻撃者は任意数の OCSP レスポンダに対してリクエストを再生することができる。

一部の展開シナリオにおける HTTP キャッシュへの依存は、中間サーバーが誤って構成されているか、キャッシュ管理の欠陥があることがわかっている場合、予期しない結果をもたらす可能性がある。実装者は、OCSP を HTTP 上で展開する際に、HTTP キャッシュメカニズムの信頼性を考慮に入れるよう助言される。

発行されたことのない証明書に対して「revoked (失効)」状態を応答することは、発行される証明書のシリアル番号をリクエスト元が予測または推測できる場合、まだ発行されていないがまもなく発行される証明書の失効応答を誰かが取得することを可能にするかもしれない。そのような予測は、連続した証明書シリアル番号の割り当てを使用して証明書を発行する CA にとって容易である。このリスクは、準拠する実装が certificateHold 理由コードを使用することを要求することによって仕様で処理され、シリアル番号を恒久的に失効させることを回避する。未発行の証明書に対するステータス要求への「revoked」応答をサポートする CA の場合、この問題を完全に回避する 1 つの方法は、高いエントロピーを持つランダムな証明書シリアル番号値を割り当てることである。

5.1. Preferred Signature Algorithms (優先署名アルゴリズム)

応答署名アルゴリズムを選択するために使用されるメカニズムは、意図されたアプリケーションに対する暗号解読攻撃に対して十分に安全であると見なさなければならない (MUST)。

ほとんどのアプリケーションでは、署名アルゴリズムが、ステータスが問い合わせられている元の証明書の署名に使用される署名アルゴリズムと少なくとも同じくらい安全であれば十分である。ただし、この基準は、署名アルゴリズムが信頼できると見なされなくなってから長い時間が経過した、遠い過去の日付について証明書のステータスが問い合わせられている長期アーカイブアプリケーションでは成り立たない場合がある。

5.1.1. Use of Insecure Algorithms (安全でないアルゴリズムの使用)

レスポンダが、クライアントが理解すると期待され、かつ現代の暗号セキュリティ基準を満たす応答を生成することが常に可能であるとは限らない。そのような場合、OCSP レスポンダのオペレーターは、侵害されたセキュリティソリューションを採用するリスクと、エンドユーザーが選択した代替案がさらに低いセキュリティまたはセキュリティなしを提供するリスクを含む、アップグレードを義務付けるコストとのバランスをとらなければならない (MUST)。

アーカイブアプリケーションでは、OCSP レスポンダが遠い過去の日付での証明書の有効性を報告するように求められる可能性が十分にある。そのような証明書は、もはや許容できるほど安全であるとは見なされない署名方法を採用している可能性がある。そのような状況では、レスポンダは、許容できるほど安全であるとは見なされない署名メカニズムを使用して署名を生成してはならない (MUST NOT)。

クライアントは、リクエストで優先署名アルゴリズムとして指定した応答内の署名アルゴリズムを受け入れなければならない (MUST)。したがって、クライアントは、サポートされていないか、許容できるほど安全であるとは見なされないアルゴリズムを優先署名アルゴリズムとして指定してはならない (MUST NOT)。

5.1.2. Man-in-the-Middle Downgrade Attack (中間者ダウングレード攻撃)

優先署名アルゴリズムのクライアント表示をサポートするメカニズムは、中間者ダウングレード攻撃 (man-in-the-middle downgrade attack) から保護されていない。OCSP レスポンダは、クライアントから要求されたとしても、弱いアルゴリズムを使用して OCSP 応答に署名してはならないため (MUST NOT)、この制約は重大なセキュリティ上の懸念とは見なされない。さらに、クライアントは、応答の署名アルゴリズムを決定するためにどのようなメカニズムが使用されていても、許容可能な暗号セキュリティに関する独自の基準を満たさない OCSP 応答を拒否できる。

5.1.3. Denial-of-Service Attack (サービス拒否攻撃)

このドキュメントで定義されているアルゴリズムの敏捷性メカニズムは、クライアントリクエストが変更されてサーバーでサポートされていないアルゴリズムを要求する場合の、サービス拒否攻撃の攻撃対象領域をわずかに増加させる。RFC 4732 [RFC4732] で議論されているサービス拒否に関する考慮事項は、このドキュメントに関連している。