Les AC ont de l'argent, non, au prix où elles vendent les
certificats....
C'est un beau raccourci. Ils ont des recettes et des dépenses. S'il y a
plus de recettes que de dépenses, il ont effectivement de l'argent, mais
je ne crois pas que ce soit le cas.
Les AC sont déficitaires selon vous (je parle des grosses style Verisign)
et vendent des certificats à perte ?
Les AC ont de l'argent, non, au prix où elles vendent les
certificats....
C'est un beau raccourci. Ils ont des recettes et des dépenses. S'il y a
plus de recettes que de dépenses, il ont effectivement de l'argent, mais
je ne crois pas que ce soit le cas.
Les AC sont déficitaires selon vous (je parle des grosses style Verisign)
et vendent des certificats à perte ?
Les AC ont de l'argent, non, au prix où elles vendent les
certificats....
C'est un beau raccourci. Ils ont des recettes et des dépenses. S'il y a
plus de recettes que de dépenses, il ont effectivement de l'argent, mais
je ne crois pas que ce soit le cas.
Les AC sont déficitaires selon vous (je parle des grosses style Verisign)
et vendent des certificats à perte ?
Deuxièmement, la norme X.509 fournit un schéma de validation de
certificat dans lequel est inscrit clairement qu'on doit avoir les CRL
des AC en question (peu importe le moyen, et le cas explicite où
^^^^^^^^^^^^^^^^^^^^
l'extension crlDistributionPoints n'existe pas est traité), ou un autre
moyen de vérifier une révocation (ceci pour dire que Microsoft ne
pouvait décemment pas écrire une validation propre et ignorer l'absence
de cette extension et l'absence de CRL dans son implémentation).
Enfin, quand en 2005 Microsoft ne sait toujours pas obtenir une CRL
correctement, on peut se poser la question "est-ce qu'ils auraient été
en mesure de traiter correctement une extension
crlDictributionPoints?"... J'ai ma réponse. ;)
Donc c'est la faute du développeur que d'utiliser un certificat qui ne
mentionne pas où trouver la CRL ?
Oui. Clairement.
Le patch disponible ne fait que fournir une CRL locale contenant les
certificats incriminés (d'après l'auteur du bouquin sus-nommé
toujours), ce qui n'est en rien une solution à long terme.
Lis la norme ou la RFC3280, elles parlent explicitement de CRL gardée en
cache local. Bizarre, non, ça ressemble à ce que tu décris...
Il faudrait donc peut-être prendre un point de vue plus nuancer et
arrêter de penser que tout est de la faute de l'utilisateur final qui
ne fait pas les choses comme il faut.
Mme Michu n'y est pour rien si Microsoft ne sait pas faire son travail,
c'est vrai, j'ai très certainement exagéré en lui jetant la pierre.
Aujourd'hui, je dirais que les torts sont partagés.
Deuxièmement, la norme X.509 fournit un schéma de validation de
certificat dans lequel est inscrit clairement qu'on doit avoir les CRL
des AC en question (peu importe le moyen, et le cas explicite où
^^^^^^^^^^^^^^^^^^^^
l'extension crlDistributionPoints n'existe pas est traité), ou un autre
moyen de vérifier une révocation (ceci pour dire que Microsoft ne
pouvait décemment pas écrire une validation propre et ignorer l'absence
de cette extension et l'absence de CRL dans son implémentation).
Enfin, quand en 2005 Microsoft ne sait toujours pas obtenir une CRL
correctement, on peut se poser la question "est-ce qu'ils auraient été
en mesure de traiter correctement une extension
crlDictributionPoints?"... J'ai ma réponse. ;)
Donc c'est la faute du développeur que d'utiliser un certificat qui ne
mentionne pas où trouver la CRL ?
Oui. Clairement.
Le patch disponible ne fait que fournir une CRL locale contenant les
certificats incriminés (d'après l'auteur du bouquin sus-nommé
toujours), ce qui n'est en rien une solution à long terme.
Lis la norme ou la RFC3280, elles parlent explicitement de CRL gardée en
cache local. Bizarre, non, ça ressemble à ce que tu décris...
Il faudrait donc peut-être prendre un point de vue plus nuancer et
arrêter de penser que tout est de la faute de l'utilisateur final qui
ne fait pas les choses comme il faut.
Mme Michu n'y est pour rien si Microsoft ne sait pas faire son travail,
c'est vrai, j'ai très certainement exagéré en lui jetant la pierre.
Aujourd'hui, je dirais que les torts sont partagés.
Deuxièmement, la norme X.509 fournit un schéma de validation de
certificat dans lequel est inscrit clairement qu'on doit avoir les CRL
des AC en question (peu importe le moyen, et le cas explicite où
^^^^^^^^^^^^^^^^^^^^
l'extension crlDistributionPoints n'existe pas est traité), ou un autre
moyen de vérifier une révocation (ceci pour dire que Microsoft ne
pouvait décemment pas écrire une validation propre et ignorer l'absence
de cette extension et l'absence de CRL dans son implémentation).
Enfin, quand en 2005 Microsoft ne sait toujours pas obtenir une CRL
correctement, on peut se poser la question "est-ce qu'ils auraient été
en mesure de traiter correctement une extension
crlDictributionPoints?"... J'ai ma réponse. ;)
Donc c'est la faute du développeur que d'utiliser un certificat qui ne
mentionne pas où trouver la CRL ?
Oui. Clairement.
Le patch disponible ne fait que fournir une CRL locale contenant les
certificats incriminés (d'après l'auteur du bouquin sus-nommé
toujours), ce qui n'est en rien une solution à long terme.
Lis la norme ou la RFC3280, elles parlent explicitement de CRL gardée en
cache local. Bizarre, non, ça ressemble à ce que tu décris...
Il faudrait donc peut-être prendre un point de vue plus nuancer et
arrêter de penser que tout est de la faute de l'utilisateur final qui
ne fait pas les choses comme il faut.
Mme Michu n'y est pour rien si Microsoft ne sait pas faire son travail,
c'est vrai, j'ai très certainement exagéré en lui jetant la pierre.
Aujourd'hui, je dirais que les torts sont partagés.
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC. Cf
http://www.amug.org/~glguerin/opinion/revocation.html pour tous les
détails.
J'ai l'impression que tu n'as pas lu la page en détail,
la conclusion est contraire à ce que tu affirmes,
La faute en revient à Microsoft, clairement.
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC. Cf
http://www.amug.org/~glguerin/opinion/revocation.html pour tous les
détails.
J'ai l'impression que tu n'as pas lu la page en détail,
la conclusion est contraire à ce que tu affirmes,
La faute en revient à Microsoft, clairement.
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC. Cf
http://www.amug.org/~glguerin/opinion/revocation.html pour tous les
détails.
J'ai l'impression que tu n'as pas lu la page en détail,
la conclusion est contraire à ce que tu affirmes,
La faute en revient à Microsoft, clairement.
C'est vrai, dès le départ:
``The fundamental error is that VeriSign issued those certificates to
somebody other than Microsoft''
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs when
they are listed in certificates that have the CRL Distribution Point
extension of RFC 2459.''
Donc Microsoft gère les CRLs, quand elles sont distribuées d'une
certaine façon. C'est un choix, c'est permis. Verisign ne les distribue
pas selon ce mécanisme. C'est un choix, c'est permis (puis que le
mécanisme en question est optionnel, mais recommandé).
C'est vrai, dès le départ:
``The fundamental error is that VeriSign issued those certificates to
somebody other than Microsoft''
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs when
they are listed in certificates that have the CRL Distribution Point
extension of RFC 2459.''
Donc Microsoft gère les CRLs, quand elles sont distribuées d'une
certaine façon. C'est un choix, c'est permis. Verisign ne les distribue
pas selon ce mécanisme. C'est un choix, c'est permis (puis que le
mécanisme en question est optionnel, mais recommandé).
C'est vrai, dès le départ:
``The fundamental error is that VeriSign issued those certificates to
somebody other than Microsoft''
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs when
they are listed in certificates that have the CRL Distribution Point
extension of RFC 2459.''
Donc Microsoft gère les CRLs, quand elles sont distribuées d'une
certaine façon. C'est un choix, c'est permis. Verisign ne les distribue
pas selon ce mécanisme. C'est un choix, c'est permis (puis que le
mécanisme en question est optionnel, mais recommandé).
Or, dans le cas qui nous intéresse, il ne s'agit pas de ça. Il s'agit
d'un éditeur (Microsoft) qui, pour signer le code qu'il distribue,
_décide_ d'acheter un service auprès d'une AC (Verisign) qu'il _choisit_
parmi toutes les AC disponibles sur le marché.
Aujourd'hui, les choix de Microsoft ont conduit à une situation
simplissime : un OS Windows ne peut pas récupérer les CRLs de l'AC qui
sert à signer pour signer le code qu'ils distribuent. C'est aussi simple
que ça à mon sens. Ce n'est clairement pas normal, et ce n'est amha ni
de la faute de l'AC, ni de la faute de l'utilisateur (sinon son choix
d'utiliser Windows).
soit pas. Mais d'un autre côté, si les clients exigeaient qu'il y soit,
collerait pour ne pas perdre trop de clients. Corollaire, si un client
aussi gros Microsoft exigeait des certificats avec un CRL Distribution
Point, Verisign les lui fournirait, papier cadeau offert, rien que pour
ne pas les voir choisir un autre prestataire.
Or, dans le cas qui nous intéresse, il ne s'agit pas de ça. Il s'agit
d'un éditeur (Microsoft) qui, pour signer le code qu'il distribue,
_décide_ d'acheter un service auprès d'une AC (Verisign) qu'il _choisit_
parmi toutes les AC disponibles sur le marché.
Aujourd'hui, les choix de Microsoft ont conduit à une situation
simplissime : un OS Windows ne peut pas récupérer les CRLs de l'AC qui
sert à signer pour signer le code qu'ils distribuent. C'est aussi simple
que ça à mon sens. Ce n'est clairement pas normal, et ce n'est amha ni
de la faute de l'AC, ni de la faute de l'utilisateur (sinon son choix
d'utiliser Windows).
soit pas. Mais d'un autre côté, si les clients exigeaient qu'il y soit,
collerait pour ne pas perdre trop de clients. Corollaire, si un client
aussi gros Microsoft exigeait des certificats avec un CRL Distribution
Point, Verisign les lui fournirait, papier cadeau offert, rien que pour
ne pas les voir choisir un autre prestataire.
Or, dans le cas qui nous intéresse, il ne s'agit pas de ça. Il s'agit
d'un éditeur (Microsoft) qui, pour signer le code qu'il distribue,
_décide_ d'acheter un service auprès d'une AC (Verisign) qu'il _choisit_
parmi toutes les AC disponibles sur le marché.
Aujourd'hui, les choix de Microsoft ont conduit à une situation
simplissime : un OS Windows ne peut pas récupérer les CRLs de l'AC qui
sert à signer pour signer le code qu'ils distribuent. C'est aussi simple
que ça à mon sens. Ce n'est clairement pas normal, et ce n'est amha ni
de la faute de l'AC, ni de la faute de l'utilisateur (sinon son choix
d'utiliser Windows).
soit pas. Mais d'un autre côté, si les clients exigeaient qu'il y soit,
collerait pour ne pas perdre trop de clients. Corollaire, si un client
aussi gros Microsoft exigeait des certificats avec un CRL Distribution
Point, Verisign les lui fournirait, papier cadeau offert, rien que pour
ne pas les voir choisir un autre prestataire.
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC. Cf
http://www.amug.org/~glguerin/opinion/revocation.html pour tous les
détails.
J'ai l'impression que tu n'as pas lu la page en détail,
C'est vrai, dès le départ:
``The fundamental error is that VeriSign issued those certificates to
somebody other than Microsoft''
qu'on pourrait traduire par:
l'erreur fondamentale/initiale provient de VeriSign qui a fourni deux
certificats à une entité autre que Microsoft.
Les ACs ne font jamais d'erreur vous disiez ?
la conclusion est contraire à ce que tu affirmes,
Des 4 méthodes disponibles pour récupérer une CRL, Verisign n'en utilise
que 2, les 2 les moins automatisables justement.
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs when
they are listed in certificates that have the CRL Distribution Point
extension of RFC 2459.''
Donc Microsoft gère les CRLs, quand elles sont distribuées d'une certaine
façon. C'est un choix, c'est permis.
Verisign ne les distribue pas selon ce mécanisme. C'est un choix, c'est
permis (puis que le mécanisme en question est optionnel, mais recommandé).
Pour vous, c'est la faute de Microsoft.
Pour moi, les torts sont partagés, l'AC peut faire un effort pour assurer
*au maximum* la publication des CRLs, dons utiliser les 4 méthodes
disponibles. Le tort de Microsoft est de ne pas essayer tous les moyens,
oui, on est d'accord.
Les choses iraient beaucoup mieux si *chacun* faisait un effort plutôt
que de rejeter l'erreur sur l'autre.
C'est ainsi, je pense, que les choses progressent....
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC. Cf
http://www.amug.org/~glguerin/opinion/revocation.html pour tous les
détails.
J'ai l'impression que tu n'as pas lu la page en détail,
C'est vrai, dès le départ:
``The fundamental error is that VeriSign issued those certificates to
somebody other than Microsoft''
qu'on pourrait traduire par:
l'erreur fondamentale/initiale provient de VeriSign qui a fourni deux
certificats à une entité autre que Microsoft.
Les ACs ne font jamais d'erreur vous disiez ?
la conclusion est contraire à ce que tu affirmes,
Des 4 méthodes disponibles pour récupérer une CRL, Verisign n'en utilise
que 2, les 2 les moins automatisables justement.
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs when
they are listed in certificates that have the CRL Distribution Point
extension of RFC 2459.''
Donc Microsoft gère les CRLs, quand elles sont distribuées d'une certaine
façon. C'est un choix, c'est permis.
Verisign ne les distribue pas selon ce mécanisme. C'est un choix, c'est
permis (puis que le mécanisme en question est optionnel, mais recommandé).
Pour vous, c'est la faute de Microsoft.
Pour moi, les torts sont partagés, l'AC peut faire un effort pour assurer
*au maximum* la publication des CRLs, dons utiliser les 4 méthodes
disponibles. Le tort de Microsoft est de ne pas essayer tous les moyens,
oui, on est d'accord.
Les choses iraient beaucoup mieux si *chacun* faisait un effort plutôt
que de rejeter l'erreur sur l'autre.
C'est ainsi, je pense, que les choses progressent....
Schneier dit pareil, même si Microsoft dit le contraire, mais au final
ils rejettent bien la faute sur l'AC. Cf
http://www.amug.org/~glguerin/opinion/revocation.html pour tous les
détails.
J'ai l'impression que tu n'as pas lu la page en détail,
C'est vrai, dès le départ:
``The fundamental error is that VeriSign issued those certificates to
somebody other than Microsoft''
qu'on pourrait traduire par:
l'erreur fondamentale/initiale provient de VeriSign qui a fourni deux
certificats à une entité autre que Microsoft.
Les ACs ne font jamais d'erreur vous disiez ?
la conclusion est contraire à ce que tu affirmes,
Des 4 méthodes disponibles pour récupérer une CRL, Verisign n'en utilise
que 2, les 2 les moins automatisables justement.
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs when
they are listed in certificates that have the CRL Distribution Point
extension of RFC 2459.''
Donc Microsoft gère les CRLs, quand elles sont distribuées d'une certaine
façon. C'est un choix, c'est permis.
Verisign ne les distribue pas selon ce mécanisme. C'est un choix, c'est
permis (puis que le mécanisme en question est optionnel, mais recommandé).
Pour vous, c'est la faute de Microsoft.
Pour moi, les torts sont partagés, l'AC peut faire un effort pour assurer
*au maximum* la publication des CRLs, dons utiliser les 4 méthodes
disponibles. Le tort de Microsoft est de ne pas essayer tous les moyens,
oui, on est d'accord.
Les choses iraient beaucoup mieux si *chacun* faisait un effort plutôt
que de rejeter l'erreur sur l'autre.
C'est ainsi, je pense, que les choses progressent....
Il y a plusieurs autorités dans Windows, je pense, donc Microsoft n'a pas
choisi que Verisign, mais Verisign et quelques autres.
soit pas. Mais d'un autre côté, si les clients exigeaient qu'il y
soit,
Demander à quelqu'un qui veut juste *utiliser* son ordinateur de
comprendre ce qu'est une CRL pourquoi c'est bien et pourquoi il doit
vérifier que son logiciel s'en serve, c'est illusoire.
Cf plus haut, je ne pense pas qu'il y ait exclusivité dans le choix.
Il y a plusieurs autorités dans Windows, je pense, donc Microsoft n'a pas
choisi que Verisign, mais Verisign et quelques autres.
soit pas. Mais d'un autre côté, si les clients exigeaient qu'il y
soit,
Demander à quelqu'un qui veut juste *utiliser* son ordinateur de
comprendre ce qu'est une CRL pourquoi c'est bien et pourquoi il doit
vérifier que son logiciel s'en serve, c'est illusoire.
Cf plus haut, je ne pense pas qu'il y ait exclusivité dans le choix.
Il y a plusieurs autorités dans Windows, je pense, donc Microsoft n'a pas
choisi que Verisign, mais Verisign et quelques autres.
soit pas. Mais d'un autre côté, si les clients exigeaient qu'il y
soit,
Demander à quelqu'un qui veut juste *utiliser* son ordinateur de
comprendre ce qu'est une CRL pourquoi c'est bien et pourquoi il doit
vérifier que son logiciel s'en serve, c'est illusoire.
Cf plus haut, je ne pense pas qu'il y ait exclusivité dans le choix.
Deuxièmement, la norme X.509 fournit un schéma de validation de
certificat dans lequel est inscrit clairement qu'on doit avoir les CRL
des AC en question (peu importe le moyen, et le cas explicite où
^^^^^^^^^^^^^^^^^^^^
On invoque le saint-esprit ?
J'espère en tout cas que Verisign vous paye bien...
Mme Michu n'y est pour rien si Microsoft ne sait pas faire son travail,
c'est vrai, j'ai très certainement exagéré en lui jetant la pierre.
Aujourd'hui, je dirais que les torts sont partagés.
Ouf... on progresse... peut-être que d'ici 40 autres posts on arrivera
enfin à la conclusion que l'AC partage aussi une partie des torts dans
bien des cas. Mais je n'irai pas jusque là (en terme de posts), vu les
partis pris initiaux, ca ne m'intéresse pas d'essayer d'argumenter.
Deuxièmement, la norme X.509 fournit un schéma de validation de
certificat dans lequel est inscrit clairement qu'on doit avoir les CRL
des AC en question (peu importe le moyen, et le cas explicite où
^^^^^^^^^^^^^^^^^^^^
On invoque le saint-esprit ?
J'espère en tout cas que Verisign vous paye bien...
Mme Michu n'y est pour rien si Microsoft ne sait pas faire son travail,
c'est vrai, j'ai très certainement exagéré en lui jetant la pierre.
Aujourd'hui, je dirais que les torts sont partagés.
Ouf... on progresse... peut-être que d'ici 40 autres posts on arrivera
enfin à la conclusion que l'AC partage aussi une partie des torts dans
bien des cas. Mais je n'irai pas jusque là (en terme de posts), vu les
partis pris initiaux, ca ne m'intéresse pas d'essayer d'argumenter.
Deuxièmement, la norme X.509 fournit un schéma de validation de
certificat dans lequel est inscrit clairement qu'on doit avoir les CRL
des AC en question (peu importe le moyen, et le cas explicite où
^^^^^^^^^^^^^^^^^^^^
On invoque le saint-esprit ?
J'espère en tout cas que Verisign vous paye bien...
Mme Michu n'y est pour rien si Microsoft ne sait pas faire son travail,
c'est vrai, j'ai très certainement exagéré en lui jetant la pierre.
Aujourd'hui, je dirais que les torts sont partagés.
Ouf... on progresse... peut-être que d'ici 40 autres posts on arrivera
enfin à la conclusion que l'AC partage aussi une partie des torts dans
bien des cas. Mais je n'irai pas jusque là (en terme de posts), vu les
partis pris initiaux, ca ne m'intéresse pas d'essayer d'argumenter.
Les ACs ne font jamais d'erreur vous disiez ?
Vous devez confondre.
http://groups.google.com/groups?threadm=Pine.LNX.4.58.0501130849370.6765%40shining.seclogd.org
D'ailleurs, c'est VeriSign qui s'est rendu compte de cette erreur et l'a
signalé, personne d'autre. Contrairement à ce que vous affirmez dans
http://groups.google.com/groups?threadm=pan.2005.01.13.14.03.32.323005.18513%40nospam.dotandco.com
une AC a tout intérêt à signaler de telles erreurs. Une AC vend de la
confiance, ne pas dévoiler ces erreurs ne peut *que* lui nuire.
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs
when they are listed in certificates that have the CRL Distribution
Point extension of RFC 2459.''
Vous oubliez quelques détails:
- la RFC n'est *pas* une norme.
- la norme X.509 existe depuis 1988, la v3 depuis 1997, et l'extension
crlDistributionPoints n'a été normalisée qu'en 2000 (la RFC2459 date
de 1999, donc on pourrait dire que cette extension a été
'standardisée' cette année là). Question: comment faisait-on avant
cela? Ca n'était pas prévu par la norme? Lisez-la, vous y trouverez
la réponse.Donc Microsoft gère les CRLs, quand elles sont distribuées d'une
certaine façon. C'est un choix, c'est permis.
Chapitre et verset? La lecture de la norme et de la RFC3280 vous
montrera le contraire.
-----
4.2.1.14 CRL Distribution Points
The CRL distribution points extension identifies how CRL information
is obtained. The extension SHOULD be non-critical, but this profile
recommends support for this extension by CAs and applications.
[...]
-----
On note l'emploi des majuscules pour renvoyer aux définitions de la
RFC2119, et on note que cette RFC 'recommends' (et non 'RECOMMENDS') que
cette extension soit *supportée* (et non *utilisée*).
Maintenant, faites l'effort de lire attentivement les RFC2459 et 3280
pour comprendre comment doit être vérifié un certificat. Pour la
Techniquement, il n'y a qu'à suivre bêtement la norme pour faire le
travail correctement. C'est du travail de pisseur de code, l'analyse est
déjà faite (et bien faite).
Vous ne connaissez manifestement pas assez les rouages de la PKI X.509.
Les ACs ne font jamais d'erreur vous disiez ?
Vous devez confondre.
http://groups.google.com/groups?threadm=Pine.LNX.4.58.0501130849370.6765%40shining.seclogd.org
D'ailleurs, c'est VeriSign qui s'est rendu compte de cette erreur et l'a
signalé, personne d'autre. Contrairement à ce que vous affirmez dans
http://groups.google.com/groups?threadm=pan.2005.01.13.14.03.32.323005.18513%40nospam.dotandco.com
une AC a tout intérêt à signaler de telles erreurs. Une AC vend de la
confiance, ne pas dévoiler ces erreurs ne peut *que* lui nuire.
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs
when they are listed in certificates that have the CRL Distribution
Point extension of RFC 2459.''
Vous oubliez quelques détails:
- la RFC n'est *pas* une norme.
- la norme X.509 existe depuis 1988, la v3 depuis 1997, et l'extension
crlDistributionPoints n'a été normalisée qu'en 2000 (la RFC2459 date
de 1999, donc on pourrait dire que cette extension a été
'standardisée' cette année là). Question: comment faisait-on avant
cela? Ca n'était pas prévu par la norme? Lisez-la, vous y trouverez
la réponse.
Donc Microsoft gère les CRLs, quand elles sont distribuées d'une
certaine façon. C'est un choix, c'est permis.
Chapitre et verset? La lecture de la norme et de la RFC3280 vous
montrera le contraire.
-----
4.2.1.14 CRL Distribution Points
The CRL distribution points extension identifies how CRL information
is obtained. The extension SHOULD be non-critical, but this profile
recommends support for this extension by CAs and applications.
[...]
-----
On note l'emploi des majuscules pour renvoyer aux définitions de la
RFC2119, et on note que cette RFC 'recommends' (et non 'RECOMMENDS') que
cette extension soit *supportée* (et non *utilisée*).
Maintenant, faites l'effort de lire attentivement les RFC2459 et 3280
pour comprendre comment doit être vérifié un certificat. Pour la
Techniquement, il n'y a qu'à suivre bêtement la norme pour faire le
travail correctement. C'est du travail de pisseur de code, l'analyse est
déjà faite (et bien faite).
Vous ne connaissez manifestement pas assez les rouages de la PKI X.509.
Les ACs ne font jamais d'erreur vous disiez ?
Vous devez confondre.
http://groups.google.com/groups?threadm=Pine.LNX.4.58.0501130849370.6765%40shining.seclogd.org
D'ailleurs, c'est VeriSign qui s'est rendu compte de cette erreur et l'a
signalé, personne d'autre. Contrairement à ce que vous affirmez dans
http://groups.google.com/groups?threadm=pan.2005.01.13.14.03.32.323005.18513%40nospam.dotandco.com
une AC a tout intérêt à signaler de telles erreurs. Une AC vend de la
confiance, ne pas dévoiler ces erreurs ne peut *que* lui nuire.
Je cite:
``Microsoft's CryptoAPI, as shipped by Microsoft, only handles CRLs
when they are listed in certificates that have the CRL Distribution
Point extension of RFC 2459.''
Vous oubliez quelques détails:
- la RFC n'est *pas* une norme.
- la norme X.509 existe depuis 1988, la v3 depuis 1997, et l'extension
crlDistributionPoints n'a été normalisée qu'en 2000 (la RFC2459 date
de 1999, donc on pourrait dire que cette extension a été
'standardisée' cette année là). Question: comment faisait-on avant
cela? Ca n'était pas prévu par la norme? Lisez-la, vous y trouverez
la réponse.Donc Microsoft gère les CRLs, quand elles sont distribuées d'une
certaine façon. C'est un choix, c'est permis.
Chapitre et verset? La lecture de la norme et de la RFC3280 vous
montrera le contraire.
-----
4.2.1.14 CRL Distribution Points
The CRL distribution points extension identifies how CRL information
is obtained. The extension SHOULD be non-critical, but this profile
recommends support for this extension by CAs and applications.
[...]
-----
On note l'emploi des majuscules pour renvoyer aux définitions de la
RFC2119, et on note que cette RFC 'recommends' (et non 'RECOMMENDS') que
cette extension soit *supportée* (et non *utilisée*).
Maintenant, faites l'effort de lire attentivement les RFC2459 et 3280
pour comprendre comment doit être vérifié un certificat. Pour la
Techniquement, il n'y a qu'à suivre bêtement la norme pour faire le
travail correctement. C'est du travail de pisseur de code, l'analyse est
déjà faite (et bien faite).
Vous ne connaissez manifestement pas assez les rouages de la PKI X.509.
Lorsqu'il souscrit un service, un client en accepte les
conditions, même si ce n'est pas lui qui en subisse les conséquences
directes. Microsoft aurait dû choisir son AC selon ce que supportait la
plate-forme destiée à utiliser ces certificats (i.e. Windows), ou
contourner le problème soit en implémentant le bout de code qui manque
(Well-known URL), soit en exigeant de Verisign qu'il lui fournisse des
certificats avec CRL Distribution Point.
Lorsqu'il souscrit un service, un client en accepte les
conditions, même si ce n'est pas lui qui en subisse les conséquences
directes. Microsoft aurait dû choisir son AC selon ce que supportait la
plate-forme destiée à utiliser ces certificats (i.e. Windows), ou
contourner le problème soit en implémentant le bout de code qui manque
(Well-known URL), soit en exigeant de Verisign qu'il lui fournisse des
certificats avec CRL Distribution Point.
Lorsqu'il souscrit un service, un client en accepte les
conditions, même si ce n'est pas lui qui en subisse les conséquences
directes. Microsoft aurait dû choisir son AC selon ce que supportait la
plate-forme destiée à utiliser ces certificats (i.e. Windows), ou
contourner le problème soit en implémentant le bout de code qui manque
(Well-known URL), soit en exigeant de Verisign qu'il lui fournisse des
certificats avec CRL Distribution Point.
