He obtenido un certificado de GoDaddy. Su uso y restricciones son los siguientes:
Uso de claves
Digital Signature, Key Encipherment (a0)
Uso de claves mejorado:
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)
Restricciones básicas
Subject Type=End Entity
Path Length Constraint=None
Al usar OpenSSL, puedo usar este certificado como CA y firmar certificados. Por supuesto, el uso del certificado firmado por la CA falsa da errores en todos los navegadores.
Mi pregunta, ¿es esto un error en OpenSSL? ¿Se puede usar esto como un exploit?
Leí CVE-2015-1793, que se centra más en la validación de la cadena alternativa que en la capacidad de OpenSSL para firmar el certificado utilizando un certificado que no es de CA.
Gracias por cualquier ayuda.