He notado que hay algunas características de políticas en los certificados x509. ¿Existen algunas formas de aplicar estas políticas en los certificados?
Por ejemplo, tomemos un certificado con un oid imaginario 1.2.3 que significa "la longitud de la clave pública es 2048 bits". ¿Existe un procedimiento automático que pueda procesar esta política y denegar certificados con otras longitudes de clave?
La aplicación de políticas se realiza en los sistemas que utilizan estos certificados para autenticación o similar, es decir, un navegador web, aplicaciones móviles, clientes de correo (S / MIME), interlocutores IPSec, .... Hay algunas políticas que están claramente definidas en los estándares y que generalmente se implementan en todos los sistemas que se ocupan de los certificados X509 (es decir, cosas como la caducidad, el uso de claves ...).
Es probable que cualquier política no común y / o específica del proveedor no sea compatible universalmente. Pueden ser compatibles con un caso de uso específico (es decir, autenticación en HTTPS) o en algunos entornos específicos de proveedores, pero no en todas partes.
X509 tiene una forma de marcar las extensiones como se requiere y un cliente que no comprende una extensión específica aún sabe si se requiere o no la comprensión de una extensión. Esto significa que un cliente que cumple con la norma y que no comprende una extensión específica requerida tratará el certificado como no válido. Si la extensión no está marcada como requerida, el cliente simplemente puede ignorar una extensión desconocida.
Lea otras preguntas en las etiquetas certificates x.509