8. TLS Requirements (TLS に関する要件)
8. TLS Requirements (TLS に関する要件)
Request Object URI 方式をサポートするクライアント実装は, "Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)" [RFC7525] に従い TLS をサポートしなければならない.
情報漏えいと改ざんを防ぐため, 機密性と整合性を提供する暗号スイートを用いた TLS による機密性保護を適用しなければならない.
HTTP クライアントは中間者攻撃を避けるため, DNS-ID [RFC6125] を用いて TLS サーバ証明書を検証しなければならない. [RFC6125] の規則と指針がここに適用され, 次の考慮がある:
-
DNS-ID 識別子タイプ (subjectAltName 拡張の dNSName 身元) のサポートは必須である. サーバ証明書を発行する認証局は DNS-ID 識別子タイプをサポートしなければならず, サーバ証明書に DNS-ID 識別子タイプが存在しなければならない.
-
サーバ証明書の DNS 名にワイルドカード文字
*を含めてもよい. -
クライアントは CN-ID 識別子を用いてはならない. サーバ証明書の subject に Common Name (CN) フィールドがあっても, [RFC7525] に記載の規則での認証に用いてはならない.
-
[RFC6125] のセクション 6.5 の SRV-ID および URI-ID は比較に用いてはならない.