11. Security Considerations (安全考虑)
11.1 server_name
server_name 不由 TLS handshake 自身认证. Application 仍 MUST 根据 server certificate 执行 endpoint identification. 多域 server 应正确处理 client 试图访问错误 security domain 的情况, 通常应发送 fatal alert 或按 server 选择的 security domain 继续.
server_name 会暴露 client 试图访问的 host. 在隐私敏感环境中, server 和 client 应考虑该信息泄露.
11.2 max_fragment_length
较小 fragment 可降低内存需求, 但可能增加 traffic analysis 和 fragmentation 处理开销. DTLS 中还可能放大 DoS 风险. 实现应限制资源消耗并按规范处理超长 record.
11.3 client_certificate_url
Certificate URL 会让 server 从外部位置获取 certificate, 因此必须验证获取到的 certificate chain, URL scheme, hash 和 certificate ownership. Server 应设置超时, 大小限制和重试限制, 防止恶意 URL 造成 DoS.
11.4 trusted_ca_keys
trusted_ca_keys 会向 server 暴露 client 信任哪些 CA root key, 可能用于 fingerprinting 或推断组织关系. Client 应谨慎选择是否发送以及发送哪些 CA identifier.
11.5 truncated_hmac
truncated_hmac 将 MAC 长度降到 80 bit, 降低安全余量. 它只应在带宽约束显著且风险可接受时使用. 高安全场景 SHOULD NOT 使用该 extension.
11.6 status_request
status_request 可改善隐私和性能, 但 client 仍必须完整验证 OCSP response. Server 可能提供陈旧 response 或不提供 response, client 应根据本地 revocation policy 决定是否继续.
11.7 General Considerations (通用考虑)
TLS Finished message 覆盖包含 extension 的 handshake message, 因而可检测 extension negotiation 被篡改. 新 extension 仍应单独分析其安全影响, 以及它与已有 extension 的交互.