He leído el gran post escrito por @Thomas Pornin Qué propiedades de una X. El certificado 509 debería ser crítico y el que no lo es?
y levantó mi pregunta.
STORY:
Supongamos que tengo un cliente C
y un servidor S
. Ahora, el cliente intenta conectarse a S
por SSL
. Por lo tanto, S
presenta su certificado CERT
. Ahora, C
intenta verificar un S
. Para ese momento podemos omitir los detalles de verificación de firma y nombre de host y enfocarnos en las extensiones.
Obviamente, C
usa OpenSSL para verificar el certificado.
Pero, para algunas extensiones críticas , OpenSSL dice: No lo apoyo.
PROBLEMAS:
-
¿Qué debo hacer? Supongo que debería escribir un código que verifique las extensiones no compatibles con OpenSSL, ¿sí?
-
Especialmente, ¿cómo verificar una extensión? Puedo implementarlo por mi cuenta pero tengo que saber qué significa verificar / validar una extensión. Por favor ayuda.