Certificats longueur du chemin de la contrainte de base
A-t-il une longueur de chemin de 0 et rien de la même chose pour les contraintes de base d'un type CA? Pour préciser, un chemin de longueur 0 signifie que l'autorité de certification peut délivrer aucun certificat, tandis qu'un chemin de longueur d'aucun signifie qu'il peut émettre une quantité infinie de certificats?
1 réponses
Extrait de RFC 5280 , section 4.2.1.9:
Une pathLenConstraint de zéro indique qu'aucun certificat D'autorité de certification intermédiaire non auto-émis ne peut suivre un chemin de certification valide. Lorsqu'il apparaît, le champ pathLenConstraint doit être supérieur ou égal à zéro. Où pathLenConstraint n'apparaît pas, aucune limite n'est imposée.
C'est-à-dire un pathLenConstraint
de 0 permet toujours à l'autorité de certification d'émettre des certificats, mais ces certificats doivent être des certificats d'entité finale (l'indicateur CA dans BasicConstraints est false - ce sont les certificats "normaux"qui sont délivrés aux personnes ou aux organisations).
Cela implique également qu'avec CE certificat, l'autorité de certification ne doit pas émettre de certificats D'autorité de certification intermédiaires (lorsque L'indicateur D'autorité de certification est à nouveau vrai - ce sont des certificats qui pourraient potentiellement émettre d'autres certificats, augmentant ainsi le pathLen
de 1).
Une absence pathLenConstraint
en revanche signifie qu'il n'y a pas de limitation compte tenu de la longueur du certificat chemins construits à partir d'un certificat d'entité finale qui mènerait à notre exemple de certificat CA. Cela implique que l'AC pourrait émettre un certificat intermédiaire pour une sous-CA, cette sous-CA pourrait à nouveau émettre un certificat intermédiaire, cette sous-CA pourrait à nouveau... jusqu'à ce que finalement une sous-CA émette un certificat d'entité finale.
Si le pathLenConstraint
d'un certificat CA donné est > 0, alors il exprime le nombre de certificats CA intermédiaires possibles dans un chemin construit à partir d'un certificat d'entité finale jusqu'au certificat d'autorité de certification. Disons que CA X a un pathLenConstraint
de 2, le certificat d'entité finale est délivré à EE. Ensuite, les scénarios suivants sont valides (I indiquant un certificat CA intermédiaire)
X - EE
X - I1 - EE
X - I1 - I2 - EE
Mais ceci et ces scénarios avec des CAs encore plus intermédiaires ne sont pas
X - I1 - I2 - I3 - EE
...