X509Certificate - Come impostare le politiche di convalida?

Question

X509Certificate - Come impostare le politiche di convalida?

#1 da (2 voti)

2

Ho un certificato X509 (ad esempio Certificato-A) per lo scopo della firma. Durante la convalida di questo certificato, devo verificare il suo percorso con Intermediate & Certificato di root che ho implementato completamente.

Esiste un'estensione personalizzata in questo certificato-A che ha un'altra firma come valore. Mentre convalido questo Certificato-A, sto prendendo la firma dalla sua estensione personalizzata & verificarlo con un altro certificato B che lo ha prodotto. Tutto ciò viene fatto bene.

Ora c'è un modo per aggiungere alcuni criteri al certificato-A con cui un validatore di terze parti viene a conoscenza leggendo questa politica (SOLO) che deve prendere la firma dal certificato-A & verificare con Certificato-B?

Nota- Certificato-A & B sarebbe già disponibile per il validatore di terze parti (Elenco certificati in una firma PKCS # 7).

cryptography public-key-infrastructure x.509

posta Ram 17.04.2014 - 09:16

fonte

1 risposta

Leggi altre domande sui tag cryptography public-key-infrastructure x.509

Analisi dei rischi Lista di controllo per la sicurezza delle informazioni Crittografia a livello di campo e crittografia del disco per conformità PCI

score 2 · Answer 1

Per definizione, le "estensioni personalizzate" sono personalizzate: sono comprese solo dalle implementazioni che sono state messe a conoscenza di esse; tutte le altre implementazioni considerano tali estensioni come "sconosciute" e le ignorano (a meno che l'estensione non sia contrassegnata come "critica", nel qual caso le implementazioni che non riconoscono l'estensione devono rifiutare il certificato completo).

Non esiste un metodo standard per codificare all'interno di un certificato istruzioni sull'elaborazione di un'estensione sconosciuta. Il comportamento standard (ignorare o rifiutare, a seconda del flag "critico") è tutto ciò che otterrete. Stranamente, le persone che progettano X.509 non hanno (ancora) fatto l' algoritmo di convalida equivalente a Turing ( anche se senza dubbio alcuni sono stati tentati di).

Una conseguenza è che le estensioni personalizzate non critiche sono principalmente commenti (dal momento che saranno ignorate da implementazioni di terze parti), mentre le estensioni personalizzate critiche rendono i certificati specifici dell'applicazione (poiché le implementazioni di terze parti si rifiuteranno di elaborarli) .