Estensioni per il certificato del server SSL

7

Ho qualche domanda sulle estensioni X.509 v3. Quali estensioni dovrebbero apparire in un certificato adeguato per un server SSL?

    
posta Wingless-Archangel 08.01.2013 - 01:08
fonte

2 risposte

9

Nessuna estensione è strettamente necessaria nel certificato del server SSL, ma le estensioni alcune possono solo aiutare:

  • Un'estensione Authority Key Identifier aiuterà i client a collegare il certificato alla CA di emissione.
  • Un'estensione CRL Distribution Points (non critica) deve essere utilizzata per puntare all'URL in cui deve essere trovato il CRL.
  • Un'estensione Authority Information Access può essere utilizzata per includere un puntatore (URL) al certificato per la stessa CA emittente; la stessa estensione può puntare a un risponditore OCSP, se applicabile.
  • Se viene utilizzata un'estensione Key Usage , dovrebbe includere alcuni flag: keyAgreement e keyEncipherment per chiavi RSA da utilizzare con TLS_RSA_ * pacchetti di crittografia, digitalSignature per chiavi RSA e DSA da utilizzare con TLS_DHE_ * suite di cifratura (c'è un po 'di confusione sull'opportunità di utilizzare keyAgreement o keyEncipherment nel caso di scambio di chiavi basato su RSA, quindi è più sicuro includere entrambi i flag).
  • Se si dispone di un criterio certificato formalmente definito, disporre di un puntatore (OID + URL di download) incluso in tutti i certificati nel percorso o almeno del certificato del server SSL stesso: fornirà una protezione legale, in caso di controversie sorgere.
  • L'estensione Subject Alt Name deve essere utilizzata per indicare il nome del server SSL. In assenza di tale estensione, tutti i browser torneranno al componente CN del subjectDN, ma questa estensione è ancora nominalmente "preferita" (si veda RFC 2818 per i dettagli).

Naturalmente, tutte queste estensioni dovrebbero essere applicate dalla CA di emissione, quindi se hai già la CA, non ci dovrebbero essere ulteriori domande qui.

In caso di dubbi, consulta il profilo PKI Internet X.509 . Il profilo definisce ciò che dovresti moralmente seguire. Se ti conformi completamente, i tuoi certificati funzioneranno ovunque. I browser sono in realtà molto più clementi di così.

    
risposta data 08.01.2013 - 02:27
fonte
-2

Spero che il link sottostante possa aiutarti, link

    
risposta data 09.01.2013 - 06:42
fonte