6. Security Considerations (セキュリティに関する考慮事項)

6.1. TLS Requirements (TLS 要件)

認可サーバーメタデータの取得やその他の OAuth クライアントと認可サーバー間の通信を行う際は、TLS の使用が必須です (MUST)。"OAuth 2.0 Threat Model and Security Considerations" [RFC6819] に記載されているように、適切な TLS の実装とデプロイメントが極めて重要です。

6.2. Impersonation Attacks (なりすまし攻撃)

TLS 証明書のチェック [RFC6125] は、承認されていないサーバーがメタデータを提供することで認可サーバーになりすますのを防ぐために必須です (MUST)。セクション 3.3 で説明されている発行者識別子の検証は、同様に重要です。

6.3. Publishing Metadata in a Standard Format (標準形式でのメタデータ公開)

標準的で機械可読な形式でメタデータを公開することにより、潜在的な攻撃者は認可サーバーの機能についての情報を発見できるようになります。これは、OAuth 2.0 の通常の運用では避けられないことであり、セキュリティリスクとは見なされません。

6.4. Protected Resources (保護されたリソース)

この仕様は、保護されたリソース (Protected Resources) に関するメタデータの取得については扱いません。保護されたリソースのためのメタデータの公開と取得のメカニズムは、将来の仕様で検討される可能性があります。