4.1 Security Considerations for status_request_v2 (status_request_v2的安全考虑事项)

如果客户端请求 OCSP 响应, 它必须考虑到使用被泄露密钥的攻击者服务器可能 (并且很可能会) 假装不支持该扩展。在这种情况下, 需要证书的 OCSP 验证的客户端应该直接联系 OCSP 服务器或中止握手。

使用 OCSP nonce request extension (OCSP随机数请求扩展) (id-pkix-ocsp-nonce) 可以提高针对尝试重放 OCSP 响应的攻击的安全性; 有关更多详细信息, 请参见 [RFC6960] 的第4.4.1节。

此扩展允许客户端向服务器发送任意数据。服务器实现者需要小心处理此类数据, 以避免引入安全漏洞。