Estensioni critiche non supportate

1

Ho letto il bel post scritto da @Thomas Pornin Quali proprietà di una X. Il certificato 509 dovrebbe essere critico e quale no?

e ha sollevato la mia domanda.

STORIA:

Supponiamo di avere un client C e un server S . Ora, il client prova a connettersi a S di SSL . Pertanto, S presenta il suo certificato CERT . Ora, C prova a verificare un S . Per quel momento possiamo omettere la verifica della firma e i dettagli di verifica del nome host e concentrarci sulle estensioni. Ovviamente, C utilizza OpenSSL per verificare il certificato.

Tuttavia, per alcune estensioni critiche OpenSSL dice: Non lo sostengo.

PROBLEMI:

  1. Cosa dovrei fare? Suppongo che dovrei scrivere un codice che verifica le estensioni non supportate da OpenSSL, sì?

  2. In particolare, come verificare un'estensione? Posso implementarlo da solo, ma devo sapere cosa significa verificare / convalidare un'estensione. Per favore aiuto.

posta Gilgamesz 18.09.2017 - 11:22
fonte

1 risposta

3

...but I have to know what does it mean to verify/validate an extension...

Non esiste una regola generica su come deve essere verificata un'estensione. Le regole dipendono invece dall'estensione specifica e sono solitamente documentate nello standard in cui è definita l'estensione specifica.

Pertanto, se il certificato contiene un'estensione contrassegnata come critica e che non è specificamente indirizzata dalla libreria TLS o dall'applicazione in base alle regole specifiche di questo tipo di estensione di quanto non si dovrebbe accettare il certificato.

    
risposta data 18.09.2017 - 11:35
fonte

Leggi altre domande sui tag