Le 09/12/2013 à 22:57, Alexandre PIERRET a écrit : > Bruno Tréguier > > "Techniquement parlant, une AC intermédiaire peut signer ce qu'elle veut, > tout comme une AC racine... Après, du point de vue des procédures, il y > a un hic, c'est sûr." > > J'arrive un peu tard dans la conversation, mais juste pour préciser > qu'une AC ne peut pas signer ce qu'elle veut. > Quand une AC signe "quelque chose", elle définie précisément quels > sont les droits de ce "quelque chose". ex: une SubCA, un certificat > serveur, un certificat client, une signature de code, un certificat > mail, une CRL, etc...
Bonsoir, En effet, j'ai peut-être été un peu trop général (ou amiral pour les marins ;-) ). En théorie, il y a aussi le "Name Constraints" (RFC 5280, section 4.2.1.10), dont a déjà parlé Stéphane Bortzmeyer un peu plus haut dans le fil, mais comme il le dit, cette fonction est très peu mise en oeuvre (la preuve), donc dans les faits, rien n'empêche une AC intermédiaire de signer un certificat avec un "Subject Name" quelconque. C'est d'ailleurs bien ce qui s'est passé dans le cas présent, et c'est la raison pour laquelle des choses comme le Public Key Pinning ou le protocole DANE présentent un intérêt (protection contre les AC compromises, etc.). Cordialement, Bruno Tréguier -- - Service Hydrographique et Oceanographique de la Marine - DMGS/INF - 13, rue du Chatellier - CS 92803 - 29228 Brest Cedex 2, FRANCE - Phone: +33 2 98 22 17 49 - Email: bruno.tregu...@shom.fr --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
