Tal como lo entiendo, si quiere ser compatible con FIPS, tiene que usar componentes certificados por FIPS. Mi pregunta es qué tan diferente puede ser su uso del componente de lo que está en el certificado de validación del componente para que usted todavía esté utilizando un componente certificado por FIPS.
Por ejemplo, aquí hay un certificado de validación para NSS: enlace
El certificado dice que la versión del software NSS es 3.12.4 y se probó en RHELv5 en un IBM System x3550 y en un HP ProLiant DL 145.
Supongo (?) que definitivamente necesito usar la versión NSS 3.12.4 ya que esa es la versión que dice el certificado que fue validada. (Por el momento, estoy ignorando la posible existencia de versiones posteriores certificadas de NSS. Supongamos que esta es la última, si no lo es).
¿Pero qué pasa con el sistema operativo y el hardware del servidor? Si ejecuto NSS 3.12.4 en una instalación de Ubuntu, ¿todavía se considera que estoy usando un componente certificado por FIPS? ¿Qué sucede si lo ejecuto en RHELv5 pero en un hardware diferente al que se mencionó en el certificado de validación?
Actualizar:
Intentaré ser más claro / más explícito ...
¿NSS 3.12.4 se considera validado / certificado cuando se ejecuta en cualquier sistema operativo o solo cuando se ejecuta en RHELv5? ¿Y cómo se determina la respuesta a esa pregunta?