determina la classe di certificato X.509

2

Ho molta familiarità con OpenPGP ma non uso nemmeno X.509 / S / MIME. So che ci sono diverse classi per i certificati (dal controllo e-mail al controllo ID personale). Mi piacerebbe sapere come si determina la classe di un certificato.

Questa informazione è parte della firma della CA? O è solo una funzionalità organuzazionale, usando certificati radice diversi per classi diverse? Ho notato che una CA ha diversi certificati radice che hanno il numero di classe nel loro nome. Esiste un attributo reale per un certificato di origine che indica all'utente la classe?

    
posta Hauke Laging 13.07.2014 - 02:11
fonte

2 risposte

2

Il certificato "classe" è essenzialmente una terminologia di marketing. Ogni CA è libera di chiamare alcuni dei certificati "classe 0" o "classe 1" o qualsiasi altra cosa, in modo approssimativo "l'ho emesso ma non mi sono preoccupato di controllare" o "questa volta ho effettuato alcuni controlli perché il proprietario mi ha pagato abbastanza per quello ".

In teoria, come da regole X.509, la "classe" dovrebbe essere codificata nel certificato come Estensione dei criteri di certificazione : la CA può inserire un OID che designa l'insieme di procedure applicate per il rilascio del certificato. Tuttavia, questi OID sono specifici della CA e possono essere compresi solo dando un'occhiata alla Dichiarazione di certificazione, un documento dall'aspetto legale che può o non può essere referenziato dall'estensione CP, ed è solitamente un file PDF di 200 pagine che non può essere digerito da un computer, solo da un essere umano (o da un avvocato).

Recentemente alcuni fornitori di CA e browser commerciali hanno raggiunto un accordo sui certificati di convalida estesa , che possono essere considerati come certificati di "classe superiore" (certificati in cui la CA ha effettivamente applicato un po 'di attenzione nel processo) e sono effettivamente identificati dalle loro estensioni CP. Tuttavia, l'identificazione è ancora resa relativamente a un grande elenco di "OID della politica EV-compliant" che i client (browser Web) in qualche modo conoscono in anticipo (è gestito dai fornitori del browser).

    
risposta data 13.07.2014 - 15:44
fonte
0

Per "Classi", penso che tu intenda "Usi chiave estesi", e quell'attributo in particolare viene utilizzato dalle applicazioni (e-mail, browser Web, smart card, IPSec, ecc.) per determinare cosa è permesso fare quel certificato.

È possibile specificare un EKU sulla CA principale o su qualsiasi sotto AC sottostante. Ovunque sia definito EKU, tutti gli usi seguenti dovrebbero ereditare quella restrizione .... ancora questa è specifica dell'implementazione.

Dai miei test, la firma e la convalida di SMIME sono applicate nelle applicazioni client, così come i certificati HTTPS (noto anche come Autenticazione server)

Per vedere a cosa è impostato un certificato, basta aprirlo nell'archivio dei certificati, o scaricare i contenuti e vedrai una sezione chiamata "Usi chiave estesi".

Tutte le altre proprietà che vedi (compresi i vincoli di base) limitano anche se un determinato certificato è autorizzato a firmare un certificato figlio ... che è la definizione di ciò che fa una CA quando ti ha dato il certificato.

    
risposta data 13.07.2014 - 04:39
fonte