Durante la validación del servidor SSL, parece que los únicos campos de los certificados X509 encontrados en los almacenes de confianza que realmente se usan son el "Nombre común" y la "Clave pública".
No estoy hablando de ninguna implementación específica de validación de certificados, pero vamos a usar OpenSSL como ejemplo.
Parece que las comprobaciones normales que ocurren con los certificados de CA intermedias no se aplican a las presentes en el almacén delimitador, por ejemplo, que las restricciones básicas no se verifican, las fechas no se verifican, la debilidad del cifrado no se verifica, etc.
Tengo dos preguntas:
- ¿Es correcto el comportamiento que describí? ¿Se están utilizando otros campos?
- ¿Deberían verificarse tales "extras" de acuerdo con los RFC relevantes? De una lectura casual, parece que todo en la tienda ancla es a priori de confianza; No se deben hacer más controles. Esto significa que un certificado de CA que carece de CA: true constrain puede emitir otros certificados y ser la raíz de una cadena válida. También significa que un certificado de CA que ha caducado también puede ser raíz de una cadena válida. ¿Pensamientos?