Se observó que la implementación predeterminada de java
de TrustManagerFactory
para el algoritmo del administrador de confianza de PKIX
( X509ExtendedTrustManager
) no verifica realmente la fecha de vencimiento del certificado del cliente durante la autenticación SSL.
Esto podría comprobarse fácilmente: configure Apache Tomcat 7.x
con autenticación de cliente SSL. Ponga en el almacén de confianza el certificado de cliente caducado. En el lado del cliente, establezca el tiempo del sistema en el tiempo pasado, cuando el certificado no caducó. Voila , el cliente puede autenticar con éxito en el servidor web.
La pregunta es: ¿es correcto ese comportamiento y corresponde a RFC 3280, o es el error?