¿Cuál es la diferencia entre 'extendedKeyUsage' y una política de aplicación?

Question

¿Cuál es la diferencia entre 'extendedKeyUsage' y una política de aplicación?

#1 de Thomas Pornin (3 votos)

4

En algunos artículos de Microsoft como enlace , encuentro algunas declaraciones confusas como

Las políticas de aplicación a veces se denominan uso de clave extendida o uso de clave mejorado. Debido a que algunas implementaciones de aplicaciones de infraestructura de clave pública (PKI) no pueden interpretar las políticas de aplicación, tanto las políticas de aplicación como las secciones de uso de clave mejoradas aparecen en certificados emitidos por una autoridad de certificación (CA) basada en Windows Server.

Si bien la primera oración parece sugerir que en realidad son lo mismo que se llama diferente, la última sugiere que son cosas diferentes que pueden aparecer en un certificado de CA. Sin embargo, la única diferencia parece ser el uso de OID específicos de Microsoft (se pueden encontrar más aquí , principalmente 1.3 .6.1.4.1.311.10.3. *).

Entonces, ¿en qué medida son diferentes las cosas, debería molestarme, y si es así, ¿cómo puedo tratarlas correctamente en openssl?

certificates openssl x.509

pregunta Tobias Kienzler 12.02.2013 - 15:38

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates openssl x.509

¿Cuál es el estado actual de la administración de confianza? Cómo verificar si mi unidad flash USB está infectada por el BadUSB

score 3 · Accepted Answer

En la terminología de Microsoft, las "políticas de aplicación" parecen ser una extensión personalizada con OID 1.3.6.1.4.1.311.21.10, que parece ser más o menos similar en contenido y objetivos al Uso de clave extendida estándar. Veo en un certificado producido por MS una extensión de "Uso de clave extendida" que contiene dos OID, y una extensión de "políticas de aplicación" que contiene los dos mismos OID, aunque cada uno dentro de una capa SEQUENCE extra, lo que probablemente significa que Microsoft La extensión específica permite algunos calificadores opcionales. No pude encontrar una descripción pública de la extensión. ( Editar: esta página dice que la extensión usa "la misma codificación que szOID_CERT_POLICIES", que es 2.5.29.32, es decir, la extensión estándar Certificate Policies de RFC 5280 .)

Dada la falta de información sobre esta extensión, la mejor manera de manejarlo es probablemente ignorarla por completo. La extensión no está marcada como "crítica", por lo que puede ignorarla si no la entiende, según X.509 , sección 4.2:

Un no crítico la extensión PUEDE ser ignorada si no se reconoce, pero DEBE ser procesado si se reconoce.