Che cosa succede ai vincoli di base di un certificato quando viene utilizzata una mappa politica?

4

Una caratteristica di un vincolo di base quando applicata a un certificato (CA o certificato finale) è che posso specificare il numero massimo di CA consentiti nella catena.

Sto pensando di avere un sistema CA a 2 livelli e di impostare il percorso dei vincoli di base = 1 sulla CA radice, percorso = 0 sulla CA intermedia.

Che cosa succederebbe se ci fosse una mappatura dei criteri tra la mia PKI e una seconda PKI? Come sarebbe influenzata la lunghezza del percorso se i due PKI avessero valori diversi per "path="?

Mi sto chiedendo di evitare l'interoperabilità con altre CA.

    
posta random65537 05.01.2013 - 01:02
fonte

1 risposta

3

Le politiche dei certificati e i vincoli di base sono problemi completamente ortogonali. I mapping dei criteri influiscono sull'elaborazione della "struttura dei criteri" ma non modificano la lunghezza del percorso e non rendono un certificato CA non CA o viceversa.

Sei sicuro di voler utilizzare una lunghezza del percorso esplicita nei vincoli di base? Questo è raramente fatto; in quanto tale, è probabilmente erroneamente implementato da alcuni motori di convalida dei certificati. L'impostazione di una lunghezza esplicita viene utilizzata per fornire a una CA secondaria la potenza di essere una CA (ad esempio, i certificati di emissione), ma per impedire loro di delegare tale alimentazione a una CA secondaria. Ci vuole un certo sforzo per trovare una situazione in cui tale restrizione abbia senso: se una CA considera la sua sub-CA come un potenziale aggressore, allora c'è qualcosa di decisamente putrefatto nel regno. Detto altrimenti, una sub-CA ostile ha già un tremendo potere di disturbo anche se non può emettere un sub-sub-CA.

Vorrei consigliare per una migliore interoperabilità , non includere una lunghezza esplicita nell'estensione dei vincoli di base. Contrassegnare le CA come CA e non CA come non CA, e dovrebbe essere sufficiente.

    
risposta data 05.01.2013 - 15:27
fonte

Leggi altre domande sui tag