Lo standard X.509 richiede di verificare la data di scadenza del certificato client sul lato server?

0

Lo standard X.509 afferma di verificare la data di scadenza del certificato client sul lato server?

Considera un certificato client scaduto nel trust store del web server. Se alcuni client tentano di autenticarsi con un certificato scaduto, il server (con l'algoritmo del gestore di fiducia X.509) dovrebbe rifiutare tale autenticazione e certificato?

Per favore, nelle tue risposte, fornisci i link e i numeri delle sezioni sulla documentazione ufficiale (RFC).

    
posta Andremoniy 16.11.2015 - 13:07
fonte

2 risposte

2

Non penso che ci sia uno standard specifico relativo ai certificati client. Esiste un meccanismo generale per la convalida dei certificati ( RFC 5280 ) e l'intero sistema di CRL presuppone che i certificati abbiano una durata limitata, perché il CRL viene utilizzato solo per i certificati che non sono ancora scaduti.

Si noti tuttavia che l'intero processo di validazione della catena di fiducia e della durata è rilevante solo se la convalida viene effettuata sulla base di una PKI. Se il server si fida semplicemente di un certificato specifico o di una chiave pubblica e il client invia esattamente questo certificato, il server potrebbe ignorare eventuali convalide aggiuntive.

    
risposta data 16.11.2015 - 14:55
fonte
1

Nel caso presentato, il cliente è il Sottoscrittore che dovrebbe rispettare il Contratto di Abbonamento pubblicato dall'Autorità di Certificazione, e il server è la Parte Affidata che dovrebbe rispettare l'Accordo di Parte Relativa pubblicato anche dalla CA. Tali accordi dovrebbero (ma potrebbero non) specificare il livello di attendibilità previsto per i vari campi del certificato.

Come molti standard, X.509 e le RFC PKI specificano il meccanismo ma non la politica, che viene lasciata agli umani che usano il sistema per specificare e implementare.

    
risposta data 17.11.2015 - 01:29
fonte

Leggi altre domande sui tag