Manca "Uso chiave" su un certificato CA: può firmare i certificati?

0

Nell'archivio certificati di Windows, un certificato CA intermedio senza estensione Utilizzo chiave è considerato idoneo (purché sia contrassegnato con flag ACCA da Constraints di base) per cantare certificati di entità finale (tale catena è considerata valida). Ma RFC 5280 afferma che

4.2.1.3. Key Usage

Conforming CAs MUST include this extension in certificates that contain public keys that are used to validate digital signatures on other public key certificates or CRLs. When present, conforming CAs SHOULD mark this extension as critical.

La mia comprensione è che un'assenza di Key Usage ext. è un'incapacità del certificato CA intermedio di firmare altri certificati. Si tratta di un errore nella procedura di convalida della catena di Windows o nel mio fraintendimento di RFC?

    
posta jirkamat 19.09.2017 - 15:06
fonte

1 risposta

0

Non sei errato e nemmeno Windows. Stai solo utilizzando diversi set di informazioni.

RFC 3280 sec 4.2.1.3 (che è stato portato negli aggiornamenti per RFC 5280) afferma che una CA deve includere l'estensione KU in qualsiasi CA figlio. Quindi qualsiasi CA che non lo fa non segue la guida di RFC 3280.

ITU-T X.509 (2012-10) sec 11.3.2 descrive quando un certificato è una corrispondenza con un insieme di vincoli. E dice:

keyUsage matches if all of the bits set in the presented value are also set in the key usage extension in the stored attribute value, or if there is no key usage extension in the stored attribute value;

(grassetto nell'enfasi originale, corsivo mio)

Quindi, una CA, sotto RFC 3280 o RFC 5280, DEVE includere l'estensione. Ma X.509 dice che il chain builder / verifier dovrebbe considerarlo valido per essere mancante.

    
risposta data 19.09.2017 - 16:57
fonte

Leggi altre domande sui tag