Falta 'Uso de clave' en un certificado de CA: ¿puedo firmar certificados?

Question

Falta 'Uso de clave' en un certificado de CA: ¿puedo firmar certificados?

#1 de bartonjs (0 votos)

0

En el almacén de certificados de Windows, un certificado de CA intermedio sin extensión de uso de clave se considera elegible (siempre que tenga el indicador isCA de las restricciones básicas, por supuesto) para los certificados de entidad final cantante (dicha cadena se considera válida). Pero, RFC 5280 afirma que

4.2.1.3. Uso de claves

Las CA conformes DEBEN incluir esta extensión en los certificados que      contienen claves públicas que se utilizan para validar firmas digitales en      Otros certificados de claves públicas o CRLs. Cuando están presentes, las CA conformes      DEBE marcar esta extensión como crítica.

Mi entendimiento es que una ausencia de la clave de uso ext. Es una incapacidad del certificado de CA intermedio para firmar otros certificados. ¿Se trata de un error en el procedimiento de la cadena de validación de Windows o mi mala interpretación de RFC?

certificate-authority x.509 key-usage

pregunta jirkamat 19.09.2017 - 15:06

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificate-authority x.509 key-usage

Mejores prácticas con respecto a la reconstrucción del disco duro Recuperar la contraseña de win10 con kali usb

score 0 · Accepted Answer

No eres incorrecto, y tampoco lo es Windows. Solo estás usando diferentes conjuntos de información.

RFC 3280 sec 4.2.1.3 (que se incluyó en las actualizaciones para RFC 5280) dice que una CA debe incluir la extensión KU en cualquier CA secundaria. Por lo tanto, cualquier CA que no lo haga no está siguiendo la guía de RFC 3280.

UIT-T X.509 (2012-10) en la sección 11.3.2 se describe cuándo un certificado es una coincidencia contra un conjunto de restricciones. Y dice:

keyUsage coincide si todos los bits establecidos en el valor presentado también se configuran en la extensión de uso de clave en la memoria almacenada valor de atributo, o si no hay una extensión de uso de clave en el valor de atributo almacenado ;

(Negrita en el original, cursiva mía)

Por lo tanto, una CA, bajo RFC 3280 o RFC 5280, DEBE incluir la extensión. Pero X.509 dice que el creador / verificador de la cadena debería considerar que es válido que falta.