8. TLS Requirements (TLS 要求)
8. TLS Requirements (TLS 要求)
支持 Request Object URI 方式的客户端实现必须支持 TLS, 并遵循 "Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)" [RFC7525].
为防止信息泄露与篡改, 必须使用 TLS 及提供机密性与完整性保护的密码套件施加机密性保护.
HTTP 客户端还必须使用 DNS-ID [RFC6125] 验证 TLS 服务器证书, 以防中间人攻击. 此处适用 [RFC7525] 中的规则与指南, 并补充如下:
-
必须支持 DNS-ID 标识符类型 (即 subjectAltName 扩展中的 dNSName 身份). 颁发服务器证书的认证机构必须支持 DNS-ID 类型, 且服务器证书中必须包含 DNS-ID.
-
服务器证书中的 DNS 名称可包含通配符
*. -
客户端不得使用 CN-ID 标识符; 服务器证书主体名中可有 Common Name (CN) 字段, 但不得按 [RFC7525] 所述规则将其用于认证.
-
不得使用 [RFC6125] 第 6.5 节所述 SRV-ID 与 URI-ID 进行比较.