8. TLS Requirements (TLS要件)

"jku"および/または"x5u" Header Parametersをサポートする実装は、TLSをサポートしなければなりません (MUST)。どのTLSバージョンを実装すべきかは時間とともに変化し、実装時の広範な展開と既知のセキュリティ脆弱性に依存します。本文書の執筆時点では、TLSバージョン1.2 [RFC5246] が最新バージョンです。

情報漏洩と改ざんを防ぐために、機密性と完全性保護を提供する暗号スイートを使用するTLSで機密性保護を適用しなければなりません (MUST)。現在使用に適していると考えられる暗号スイートに関するガイダンスについては、RFC 6176 [RFC6176] を含むIETF TLSワーキンググループの現在の出版物を参照してください。また、TLSを使用するソフトウェアとサービスのセキュリティ向上に関する推奨事項については、"Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)"（トランスポート層セキュリティ(TLS)とデータグラムトランスポート層セキュリティ(DTLS)の安全な使用に関する推奨事項）[RFC7525] も参照してください。

TLSを使用する場合は常に、RFC 6125 [RFC6125] のセクション6で説明されている手順を使用して、TLSサーバー証明書にエンコードされたサービスプロバイダーのアイデンティティを検証しなければなりません (MUST)。