I numeri seriali per i certificati X.509 devono essere strettamente sequenziali o possono essere timestamp?

4

I numeri di serie devono essere univoci per i certificati X.509. Ma hanno bisogno di essere strettamente sequenziali o li rendono uguali al tempo in cui il certificato è stato generato sufficiente?

    
posta neubert 15.07.2015 - 23:46
fonte

3 risposte

4

Non devono essere sequenziali. Inoltre, ci sono alcuni problemi con l'uso di numeri seriali prevedibili, come descritto in questo post:

link

    
risposta data 16.07.2015 - 00:03
fonte
3

Dai un'occhiata ai CA / Browser Baseline Requirements v1.3.0, 7.1. Profilo del certificato:

CAs SHOULD generate non‐sequential Certificate serial numbers that exhibit at least 20 bits of entropy.

e conoscerai la risposta.

    
risposta data 19.07.2015 - 12:39
fonte
2

Sto osservando la specifica e afferma che deve essere UNICO. Non afferma che dovrebbe essere sequenziale o altro. Anche il valore è un "intero".

4.1.2.2 Serial number

The serial number is an integer assigned by the CA to each
certificate. It MUST be unique for each certificate issued by a
given CA (i.e., the issuer name and serial number identify a unique
certificate).

Modifica ,

  • Sono d'accordo con @pineappleman - mentre le specifiche non lo descrivono ha senso non avere prevedibilità nei numeri seriali.
  • Anche un problema con timestamp è che dovrai in qualche modo garantire che 2 Certs richiesto allo stesso tempo non ottiene lo stesso numero di serie.
risposta data 16.07.2015 - 00:04
fonte

Leggi altre domande sui tag