determinar la clase de certificado X.509

Navega tus respuestas
2

Estoy muy familiarizado con OpenPGP pero ni siquiera uso X.509 / S / MIME. Sé que hay varias clases de certificados (desde verificación de correo electrónico a verificación de identificación personal). Me gustaría saber cómo determina la clase de un certificado.

¿Esta información es parte de la firma de la CA? ¿O es solo una característica de la organización, que utiliza diferentes certificados raíz para diferentes clases? Noté que una CA tiene certificados raíz diferentes que tienen el número de clase en su nombre. ¿Existe un atributo real para un certificado raíz que le diga al usuario la clase?

    
pregunta Hauke Laging 13.07.2014 - 02:11
fuente

2 respuestas

2

Certificado "clase" es esencialmente una terminología de marketing. Cada CA es libre de llamar a algunos de los certificados "clase 0" o "clase 1" o lo que sea, lo que significa más o menos "emití eso pero no me molesté en verificar" o "esta vez hice algunos cheques porque el propietario me pagó lo suficiente para eso ".

Teóricamente, según las reglas X.509, la "clase" se debe codificar en el certificado como una Extensión de las Políticas de Certificación : la CA puede poner allí algún OID que designe el conjunto de procedimientos aplicados para la emisión del certificado. Sin embargo, estos OID son específicos de CA, y solo pueden entenderse con un vistazo a la Declaración de Prácticas de Certificación, un documento de apariencia legal que puede o no ser referenciado desde la extensión de CP, y generalmente es un archivo PDF de 200 páginas. eso no puede ser digerido por una computadora, solo por un ser humano (o un abogado).

Recientemente, algunos proveedores comerciales de CA y de navegadores han llegado a un acuerdo sobre Certificados de validación extendida , que pueden considerarse de como certificados de "clase alta" (certificados en los que la CA aplicó cierto cuidado en el proceso), y de hecho se identifican por sus extensiones de CP. Sin embargo, la identificación aún se realiza en relación con una gran lista de "OID de políticas compatibles con EV" que los clientes (navegador web) de alguna manera saben de antemano (es mantenido por los proveedores del navegador).

    
respondido por el Thomas Pornin 13.07.2014 - 15:44
fuente
0

Por "Clases" Creo que te refieres a "Uso de claves extendidas", y ese atributo en particular es usado por aplicaciones (correo electrónico, navegadores web, tarjetas inteligentes, IPSec, etc.) para determinar qué está permitido hacer ese certificado.

Se puede especificar un EKU en la CA raíz o en cualquier subCA debajo de él. Dondequiera que se defina EKU, todos los usos a continuación deberían heredar esa restricción ... nuevamente, esto es específico de la implementación.

Desde mi prueba, la firma y validación de SMIME se aplican en las aplicaciones cliente, al igual que los certificados HTTPS (también conocidos como autenticación de servidor)

Para ver en qué está configurado un certificado, simplemente ábralo en su almacén de certificados, o descargue el contenido y verá una sección llamada "Uso de clave extendida".

Todas las demás propiedades que ve (incluidas las Restricciones básicas) también limitan si un certificado determinado tiene permiso para firmar un certificado secundario ... que es la definición de lo que hace una CA cuando le dio su certificado.

    
respondido por el random65537 13.07.2014 - 04:39
fuente

Lea otras preguntas en las etiquetas

Obtenga el historial del navegador sin usar un navegador ¿Qué tipo de ataques enfrentará un servidor SMTP si no tiene un límite de velocidad al enviar correos?