Ho letto il bel post scritto da @Thomas Pornin Quali proprietà di una X. Il certificato 509 dovrebbe essere critico e quale no?
e ha sollevato la mia domanda.
STORIA:
Supponiamo di avere un client C
e un server S
. Ora, il client prova a connettersi a S
di SSL
. Pertanto, S
presenta il suo certificato CERT
. Ora, C
prova a verificare un S
. Per quel momento possiamo omettere la verifica della firma e i dettagli di verifica del nome host e concentrarci sulle estensioni.
Ovviamente, C
utilizza OpenSSL per verificare il certificato.
Tuttavia, per alcune estensioni critiche OpenSSL dice: Non lo sostengo.
PROBLEMI:
-
Cosa dovrei fare? Suppongo che dovrei scrivere un codice che verifica le estensioni non supportate da OpenSSL, sì?
-
In particolare, come verificare un'estensione? Posso implementarlo da solo, ma devo sapere cosa significa verificare / convalidare un'estensione. Per favore aiuto.