Ho notato che ci sono alcune caratteristiche dei criteri nei certificati x509. Esistono alcuni modi per applicare queste politiche nei certificati?
Ad esempio, prendiamo un certificato con immaginario oid 1.2.3 che significa "lunghezza della chiave pubblica di 2048 bit". Esiste una procedura automatica che è in grado di elaborare questo criterio e negare i certificati con altre chiavi lunghe?
L'applicazione delle politiche viene eseguita nei sistemi che utilizzano questi certificati per l'autenticazione o simili, ovvero browser Web, app mobili, client di posta (S / MIME), peer IPSec, .... Ci sono alcune politiche che sono chiaramente definite negli standard e che di solito sono implementate in tutti i sistemi che trattano i certificati X509 (ad esempio cose come scadenza, utilizzo delle chiavi ...).
È probabile che eventuali politiche non comuni e / o specifiche del fornitore non siano supportate universalmente. Potrebbero essere supportati per un caso d'uso specifico (ad esempio l'autenticazione in HTTPS) o in alcuni ambienti specifici del fornitore, ma non ovunque.
X509 ha comunque la possibilità di contrassegnare le estensioni come richiesto e un client che non comprende un'estensione specifica sa ancora se è richiesta o meno la comprensione di un'estensione. Ciò significa che un client conforme allo standard che non comprende un'estensione richiesta specifica considererà il certificato non valido. Se invece l'estensione non è contrassegnata come richiesta, il client può semplicemente ignorare tale estensione sconosciuta.
Leggi altre domande sui tag certificates x.509