¿Dónde puedo encontrar las especificaciones para el certificado X.509 utilizado en el protocolo de enlace TLS autenticado por el cliente?

Question

¿Dónde puedo encontrar las especificaciones para el certificado X.509 utilizado en el protocolo de enlace TLS autenticado por el cliente?

#1 de Emil (1 votos)
#2 de dave_thompson_085 (1 votos)

1

Las especificaciones de TLS definen cómo se debe realizar el intercambio entre el cliente y el servidor cuando el cliente quiere usar un certificado para autenticarse. Hay mucha documentación en línea que asume que el nombre de usuario se coloca en el campo CN del certificado x.509, pero ninguno de los documentos que encontré dio una referencia a las especificaciones que obligan a poner el nombre de usuario en la CN.

¿El poner el nombre de usuario en la CN es obligatorio por algún RFC o estándar? En caso afirmativo, ¿podría indicarme ese documento?

authentication tls certificates x.509 client

pregunta Ottavio Campana 11.06.2018 - 17:10

fuente

2 respuestas

Lea otras preguntas en las etiquetas authentication tls certificates x.509 client

¿Puede Facebook recopilar datos en la red local? Confianza en TLS mutuo en la cadena de certificados en configuración de CA de nivel intermedio

score 1 · Answer 1

Según tengo entendido, la validación del certificado del lado del cliente es específica de la implementación. En general, se reduce a afirmar que el certificado del cliente se encuentra en una PKI confiable desde el punto de vista del servidor. Puede decidir esquemas de validación adicionales según lo definido por la política del certificado.

score 1 · Answer 2

RFC 2818 (HTTPS), después de una página completa en el cliente que comprueba la identidad del servidor, tiene solo un párrafo en la comprobación del servidor identidad del cliente :

Normalmente, el servidor no tiene conocimiento externo de lo que el cliente La identidad debe ser y por lo tanto los controles (aparte de que el cliente tiene una cadena de certificados arraigada en una CA apropiada) no son posibles. Si un El servidor tiene tal conocimiento (típicamente de alguna fuente externa a HTTP o TLS) DEBE verificar la identidad como se describe anteriormente.

RFC 6125, que actualiza la verificación de la identidad del servidor TLS con gran detalle para varios protocolos que no incluyen HTTPS, doesn ni siquiera considerar la verificación de la identidad del cliente :

Los siguientes temas están fuera del alcance de esta especificación:

o Identidades del cliente o usuario final. ...