RFC 7065 - 4. Security Considerations

4. Security Considerations (セキュリティ考慮事項)

解決メカニズムのセキュリティ考慮事項は [RFC5928] のセクション 5 で論じられている。同セクションには, TLS 使用時に turn クライアントが従うべき認証手続きを定める規範的テキストが含まれる。

"turn" および "turns" URI スキームは, [RFC3986] で論じられたセキュリティ考慮事項を超える特有の問題を新たに導入しない。

"turn" または "turns" URI 自体には TURN クライアントの認証に用いるユーザー名やパスワードは含まれないが, WebRTC などの環境では, 外部エージェントが "turns" URI をクライアントに送るのと同時に, ユーザー名とパスワードがほぼ確実にリモートでプロビジョニングされる。したがって, そのような状況でユーザー名とパスワードが平文で受信された場合, "turns" URI を用いる利点はほとんどない。このため, TURN クライアントは "turns" URI を使用する前に, ユーザー名, パスワード, "turns" URI, その他セキュリティ関連パラメータが同等のセキュリティで受信されたことを保証しなければならない (MUST)。別の TLS セッションでこれらを受信すれば適切なセキュリティレベルを提供しうるが, 両方の TLS セッションが同様にパラメータ化され (例: 同等強度の暗号スイート), その条件を満たす必要がある。