4.1. Security Considerations for status_request_v2 (status_request_v2 のセキュリティに関する考慮事項)

クライアントが OCSP 応答を要求する場合, 侵害された鍵を使用する攻撃者のサーバーが拡張をサポートしないふりをする (そしておそらくするであろう) 可能性があることを考慮に入れなければなりません。この場合, 証明書の OCSP 検証を必要とするクライアントは, OCSP サーバーに直接連絡するか, ハンドシェイクを中止すべきです (SHOULD)。

OCSP nonce 要求拡張 (id-pkix-ocsp-nonce) の使用は, OCSP 応答を再生しようとする攻撃に対するセキュリティを改善する可能性があります。詳細については [RFC6960] のセクション 4.4.1 を参照してください。

この拡張により, クライアントは任意のデータをサーバーに送信できます。サーバーの実装者は, セキュリティの脆弱性の導入を避けるために, そのようなデータを慎重に処理する必要があります。