Los navegadores web están fuera de rumbo en ese campo, pero algunas bibliotecas de terceros para idiomas como perl no lo realizan (verifican / keyUsage = pero no /extendedKeyUsage=
).
Entonces, por ejemplo, necesitaría una autoridad de certificación que permitiera poner cualquier cosa dentro de /cn=
(un campo que se puede usar normalmente para el suscriptor en el caso de certificados s / mime ya que el campo / keyusage = permite cifrado pero no para la autenticación del servidor).
Badssl no ofrece dicha opción de prueba (y probablemente no cualquier otro sitio web).
Why not make your own ca?
¿Porque estoy hablando de cosas de mierda que tienen todo su certificado codificado en objetos compartidos compilados?
Además, en mi caso (para las revelaciones responsables que estoy planeando), el error no debería ser hipotético. Me refiero a que una autoridad de certificación debe entregar certificados con sitios web arbitrarios en los campos /cn=
pero sin autenticación del servidor en el campo /extendedKeyUsage=
.
¿Qué tipo de certificado generalmente no permite el cifrado del servidor en su campo /extendedKeyUsage=
y no se ha verificado la parte /cn=
? ¡Un certificado s / mime!
Si dicho certificado se usa con un navegador web para man in middle, el navegador web detectará que el certificado no permite la autenticación del servidor en el campo /extendedKeyUsage=
y lo rechaza. Pero si una herramienta no verifica el contenido del campo /extendedKeyUsage=
, el hombre en el medio funcionaría.