Názor k článku SSL je zbytečné, pokud se nekontroluje certifikát od Ondrej Mikle - Nejde vysloveně o "critical", ta část je zrovna...

  • Článek je starý, nové názory již nelze přidávat.
  • 29. 10. 2012 13:34

    Ondrej Mikle (neregistrovaný)

    Nejde vysloveně o "critical", ta část je zrovna celkem jednoduchá.

    Neexistuje ale jediný TLS klient, který by plně nebo alespoň korektně implementoval RFC 5280. Jenom k path validation je další RFC 4158, které si opět různé implementace vykládájí různě.

    MS CryptoAPI dělá třeba "AIA chasing" kdy si stáhne odněkud certifikáty CA uvedené v Authority Information Access, nahradí nimi původní certifikáty v řetězci - a tam třeba můžou klidně být úplně jiné extensions.

    Hledání cesty v grafu při validaci certifikátů může klidně vrátit pro jeden certificate chain poslaný od serveru třeba 16 různých možných cest (některé jsou důsledkem toho AIA chasing, jiné důsledkem cross-certification, možných příčin je dost).

    Dovolím si tvrdit, že neexistuje nikdo, kdo dokáže předvídat a ošetřit všechny případy v kódu a to ani kdyby TLS klienti implementovali RFC přesně (což se nikdy nestane).