Extensiones críticas no compatibles

1

He leído el gran post escrito por @Thomas Pornin Qué propiedades de una X. El certificado 509 debería ser crítico y el que no lo es?

y levantó mi pregunta.

STORY:

Supongamos que tengo un cliente C y un servidor S . Ahora, el cliente intenta conectarse a S por SSL . Por lo tanto, S presenta su certificado CERT . Ahora, C intenta verificar un S . Para ese momento podemos omitir los detalles de verificación de firma y nombre de host y enfocarnos en las extensiones. Obviamente, C usa OpenSSL para verificar el certificado.

Pero, para algunas extensiones críticas , OpenSSL dice: No lo apoyo.

PROBLEMAS:

  1. ¿Qué debo hacer? Supongo que debería escribir un código que verifique las extensiones no compatibles con OpenSSL, ¿sí?

  2. Especialmente, ¿cómo verificar una extensión? Puedo implementarlo por mi cuenta pero tengo que saber qué significa verificar / validar una extensión. Por favor ayuda.

pregunta Gilgamesz 18.09.2017 - 11:22
fuente

1 respuesta

3
  

... pero tengo que saber qué significa verificar / validar una extensión ...

No hay una regla genérica sobre cómo se debe verificar una extensión. Las reglas dependen de la extensión específica y, por lo general, están documentadas en el estándar donde se define la extensión específica.

Por lo tanto, si el certificado contiene una extensión que está marcada como crítica y que no está dirigida específicamente por la biblioteca TLS o por su aplicación de acuerdo con las reglas específicas de este tipo de extensión, no debe aceptar el certificado.

    
respondido por el Steffen Ullrich 18.09.2017 - 11:35
fuente

Lea otras preguntas en las etiquetas