A quanto ho capito, se si desidera essere conformi ai FIPS, è necessario utilizzare componenti certificati FIPS. La mia domanda è: quanto può essere diverso l'utilizzo del componente da parte del certificato di convalida del componente affinché tu stia ancora utilizzando un componente certificato FIPS?
Ad esempio, ecco un certificato di convalida per NSS: link
Il certificato indica che la versione del software NSS è 3.12.4 ed è stata testata su RHELv5 su un sistema IBM x3550 e su un HP ProLiant DL 145.
Suppongo (?) che io abbia assolutamente bisogno di usare la versione NSS 3.12.4 poiché quella è la versione che il certificato dice che è stata convalidata. (Per il momento sto ignorando la possibile esistenza di versioni certificate successive di NSS: pretendi che questo sia l'ultimo se non lo è).
Ma per quanto riguarda il sistema operativo e l'hardware del server? Se eseguo NSS 3.12.4 in un'installazione di Ubuntu, mi sembra ancora di utilizzare un componente certificato FIPS? Cosa succede se lo eseguo su RHELv5 ma su hardware diverso da quello menzionato nel certificato di convalida?
Aggiornamento:
Cercherò di essere più chiaro / esplicito ...
NSS 3.12.4 è considerato validato / certificato quando viene eseguito su qualsiasi sistema operativo o solo quando viene eseguito su RHELv5? E come si determina la risposta a questa domanda?