¿Los números de serie para certificados X.509 deben ser estrictamente secuenciales o pueden ser marcas de tiempo?

Navega tus respuestas
4

Los números de serie deben ser únicos para los certificados X.509. Pero, ¿tienen que ser estrictamente secuenciales o son iguales al tiempo en que se generó el certificado?

    
pregunta neubert 15.07.2015 - 23:46
fuente

3 respuestas

4

No tienen que ser secuenciales. Además, hay algunos problemas con el uso de números de serie predecibles, como se describe en esta publicación:

enlace

    
respondido por el pineappleman 16.07.2015 - 00:03
fuente
3

Solo mire Requisitos básicos de CA / Browser Forum v1.3.0, 7.1. Perfil del certificado:

  

Las CA DEBEN generar números de serie de certificados no secuenciales que muestren al menos 20 bits de entropía.

y sabrás la respuesta.

    
respondido por el Michał Staruch 19.07.2015 - 12:39
fuente
2

Estoy viendo la especificación y dice que tiene que ser ÚNICO. No establece que debe ser secuencial o de otro tipo. También el valor es un "entero".

  

4.1.2.2 Número de serie

     

El número de serie es un número entero asignado por la CA a cada
  certificado. DEBE ser único para cada certificado emitido por un
  La CA dada (es decir, el nombre del emisor y el número de serie identifican un nombre único)   certificado).

Editar ,

  • Estoy de acuerdo con @pineappleman, mientras que las especificaciones no lo explican, tiene sentido que no tenga previsibilidad en los números de serie.
  • También un problema con la marca de tiempo es que tendrás que asegurarte de que 2 Certs solicitado al mismo tiempo no obtenga el mismo número de serie.
respondido por el Yazad Khambata 16.07.2015 - 00:04
fuente

Lea otras preguntas en las etiquetas

Cómo comunicar qué tan seguro está su sistema a los clientes de su empleador ¿Cómo debo defenderme contra los ataques de fuerza bruta de TightVNC?