Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
Erwann ABALEA wrote:Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
A ce que je sache, le X509 v4 retire les mentions dans ce sens sur le
"Certificate Policy", en particulier celle cité ici :
http://www.imc.org/ietf-pkix/old-archive-97/msg01554.html
Et je crois qu'il y a maintenant un addendum à la norme précisant que la
criticité ne doit jamais changer la sémantique de l'extension.
Et l'opinion des personnes les plus autorisées dans ce domaine semble
être unanime pour faire en sorte que ce soit le cas partout, et que s'il
reste des endroits où le texte des normes/RFC dit autre chose, qu'on
trouve une solution pour le corriger et éliminer ces situations.
Ce qui n'empèche qu'il reste plusieurs cas (CRLDP, key usage) où l'on
autorise les applications à ne pas prendre en compte les extension
non-critiques.
Mais ce n'est pas vraiment une sémantique différente, c'est plutôt faire
comme si l'extension était totalement inconnu, ce qui revient à ce que
l'application utilise le certificat sans implémenter l'extension, ce qui
est justement autorisé par le fait qu'elle soit non critique.
Par ailleurs, les RFC du PKIX sont un profile de la norme ANSI.
Ce qui signifie que le PKIX restreint l'ensemble de ce qui est autorisé
par la norme. Ce qui signifie que quand il y a apparement un conflit
entre les deux, lorsque les intructions du PKIX restreignent plus que ce
ne fait la norme, il ne s'agit pas réellement d'un problème, et les
implémentations conformes au PKIX peuvent rejeter des cas autorisés par
X509 (si on trouve un cas inverse, là c'est un défaut de PKIX).
Erwann ABALEA wrote:
Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
A ce que je sache, le X509 v4 retire les mentions dans ce sens sur le
"Certificate Policy", en particulier celle cité ici :
http://www.imc.org/ietf-pkix/old-archive-97/msg01554.html
Et je crois qu'il y a maintenant un addendum à la norme précisant que la
criticité ne doit jamais changer la sémantique de l'extension.
Et l'opinion des personnes les plus autorisées dans ce domaine semble
être unanime pour faire en sorte que ce soit le cas partout, et que s'il
reste des endroits où le texte des normes/RFC dit autre chose, qu'on
trouve une solution pour le corriger et éliminer ces situations.
Ce qui n'empèche qu'il reste plusieurs cas (CRLDP, key usage) où l'on
autorise les applications à ne pas prendre en compte les extension
non-critiques.
Mais ce n'est pas vraiment une sémantique différente, c'est plutôt faire
comme si l'extension était totalement inconnu, ce qui revient à ce que
l'application utilise le certificat sans implémenter l'extension, ce qui
est justement autorisé par le fait qu'elle soit non critique.
Par ailleurs, les RFC du PKIX sont un profile de la norme ANSI.
Ce qui signifie que le PKIX restreint l'ensemble de ce qui est autorisé
par la norme. Ce qui signifie que quand il y a apparement un conflit
entre les deux, lorsque les intructions du PKIX restreignent plus que ce
ne fait la norme, il ne s'agit pas réellement d'un problème, et les
implémentations conformes au PKIX peuvent rejeter des cas autorisés par
X509 (si on trouve un cas inverse, là c'est un défaut de PKIX).
Erwann ABALEA wrote:Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
A ce que je sache, le X509 v4 retire les mentions dans ce sens sur le
"Certificate Policy", en particulier celle cité ici :
http://www.imc.org/ietf-pkix/old-archive-97/msg01554.html
Et je crois qu'il y a maintenant un addendum à la norme précisant que la
criticité ne doit jamais changer la sémantique de l'extension.
Et l'opinion des personnes les plus autorisées dans ce domaine semble
être unanime pour faire en sorte que ce soit le cas partout, et que s'il
reste des endroits où le texte des normes/RFC dit autre chose, qu'on
trouve une solution pour le corriger et éliminer ces situations.
Ce qui n'empèche qu'il reste plusieurs cas (CRLDP, key usage) où l'on
autorise les applications à ne pas prendre en compte les extension
non-critiques.
Mais ce n'est pas vraiment une sémantique différente, c'est plutôt faire
comme si l'extension était totalement inconnu, ce qui revient à ce que
l'application utilise le certificat sans implémenter l'extension, ce qui
est justement autorisé par le fait qu'elle soit non critique.
Par ailleurs, les RFC du PKIX sont un profile de la norme ANSI.
Ce qui signifie que le PKIX restreint l'ensemble de ce qui est autorisé
par la norme. Ce qui signifie que quand il y a apparement un conflit
entre les deux, lorsque les intructions du PKIX restreignent plus que ce
ne fait la norme, il ne s'agit pas réellement d'un problème, et les
implémentations conformes au PKIX peuvent rejeter des cas autorisés par
X509 (si on trouve un cas inverse, là c'est un défaut de PKIX).
On Tue, 25 Jan 2005, Jean-Marc Desperrier wrote:Erwann ABALEA wrote:Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
[...]
Si l'extension est marquée comme critique, ceci indique alors que le
certificat sera utilisé uniquement pour les buts et conformément aux règles
impliquées par l'une des politiques de certificat indiquées. Les règles
d'une politique particulière peuvent exiger que le système utilisant des
certificats traite d'une manière particulière la valeur du qualificatif.
Si l'extension est marquée comme non critique, son utilisation ne limite
pas nécessairement l'utilisation du certificat aux politiques figurant dans
la liste. Un utilisateur de certificat peut toutefois exiger la présence
d'une politique particulière pour utiliser le certificat (voir article 10).
Les qualificatifs de politique peuvent être traités ou ignorés au choix de
l'utilisateur de certificat.
-----
Il ne s'agit pas ici du "support" ou non de l'extension, mais de savoir
comment on la traite, puisque même une application sachant traiter
correctement cette extension aura un comportement différent pour cette
extension selon que celle-ci est déclarée critique ou non.
[...]
Ce qui n'empèche qu'il reste plusieurs cas (CRLDP, key usage) où l'on
autorise les applications à ne pas prendre en compte les extension
non-critiques.
On voit donc bien qu'on a besoin d'un drapeau indiquant qu'on veut
renforcer les contrôles...
Mais ce n'est pas vraiment une sémantique différente, c'est plutôt faire
comme si l'extension était totalement inconnu, ce qui revient à ce que
l'application utilise le certificat sans implémenter l'extension, ce qui
est justement autorisé par le fait qu'elle soit non critique.
C'est en contradiction avec le §7 (là encore, à mon sens). Une application
reconnait ou ne reconnait pas une extension, mais cette reconnaissance ou
non ne doit pas dépendre d'un drapeau contenu dans cette extension. Dit
autrement, une application ne peut pas (comprendre: ne devrait pas)
choisir de traiter ou pas une extension selon que ça l'arrange ou pas...
Sinon, tu imagines ce que ça peut faire sur d'autres extensions, comme le
basicConstraints par exemple. D'ailleurs, la description de cette dernière
extension interdit à une application qui la reconnait de faire comme si
elle ne la reconnaissait pas si elle était déclarée non critique (je sais,
c'est tordu comme phrase).
On a donc bien une différence de sémantique
pour le certificatePolicies en fonction du drapeau critique.
Par ailleurs, les RFC du PKIX sont un profile de la norme ANSI.
C'est dit où?
Quand on compare la RFC et la norme sur certains points, on se dit qu'en
tant qu'implémenteur, on doit faire un choix, on ne peut pas être
totalement conforme aux deux.
Et je trouve que les travaux de PKIX ne sont
pas suffisamment 'argumentés', il n'y a pas de cadre pour appuyer certains
choix, ce qui donne l'impression de quelque chose de mal ficelé.
On Tue, 25 Jan 2005, Jean-Marc Desperrier wrote:
Erwann ABALEA wrote:
Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
[...]
Si l'extension est marquée comme critique, ceci indique alors que le
certificat sera utilisé uniquement pour les buts et conformément aux règles
impliquées par l'une des politiques de certificat indiquées. Les règles
d'une politique particulière peuvent exiger que le système utilisant des
certificats traite d'une manière particulière la valeur du qualificatif.
Si l'extension est marquée comme non critique, son utilisation ne limite
pas nécessairement l'utilisation du certificat aux politiques figurant dans
la liste. Un utilisateur de certificat peut toutefois exiger la présence
d'une politique particulière pour utiliser le certificat (voir article 10).
Les qualificatifs de politique peuvent être traités ou ignorés au choix de
l'utilisateur de certificat.
-----
Il ne s'agit pas ici du "support" ou non de l'extension, mais de savoir
comment on la traite, puisque même une application sachant traiter
correctement cette extension aura un comportement différent pour cette
extension selon que celle-ci est déclarée critique ou non.
[...]
Ce qui n'empèche qu'il reste plusieurs cas (CRLDP, key usage) où l'on
autorise les applications à ne pas prendre en compte les extension
non-critiques.
On voit donc bien qu'on a besoin d'un drapeau indiquant qu'on veut
renforcer les contrôles...
Mais ce n'est pas vraiment une sémantique différente, c'est plutôt faire
comme si l'extension était totalement inconnu, ce qui revient à ce que
l'application utilise le certificat sans implémenter l'extension, ce qui
est justement autorisé par le fait qu'elle soit non critique.
C'est en contradiction avec le §7 (là encore, à mon sens). Une application
reconnait ou ne reconnait pas une extension, mais cette reconnaissance ou
non ne doit pas dépendre d'un drapeau contenu dans cette extension. Dit
autrement, une application ne peut pas (comprendre: ne devrait pas)
choisir de traiter ou pas une extension selon que ça l'arrange ou pas...
Sinon, tu imagines ce que ça peut faire sur d'autres extensions, comme le
basicConstraints par exemple. D'ailleurs, la description de cette dernière
extension interdit à une application qui la reconnait de faire comme si
elle ne la reconnaissait pas si elle était déclarée non critique (je sais,
c'est tordu comme phrase).
On a donc bien une différence de sémantique
pour le certificatePolicies en fonction du drapeau critique.
Par ailleurs, les RFC du PKIX sont un profile de la norme ANSI.
C'est dit où?
Quand on compare la RFC et la norme sur certains points, on se dit qu'en
tant qu'implémenteur, on doit faire un choix, on ne peut pas être
totalement conforme aux deux.
Et je trouve que les travaux de PKIX ne sont
pas suffisamment 'argumentés', il n'y a pas de cadre pour appuyer certains
choix, ce qui donne l'impression de quelque chose de mal ficelé.
On Tue, 25 Jan 2005, Jean-Marc Desperrier wrote:Erwann ABALEA wrote:Et une criticité, qui peut parfois influer sur la sémantique à accorder à
l'extension (par exemple le certificatePolicies, voir sa sémantique dans
la norme (pas la RFC3280, elle est borgne sur ce point), c'est "amusant").
[...]
Si l'extension est marquée comme critique, ceci indique alors que le
certificat sera utilisé uniquement pour les buts et conformément aux règles
impliquées par l'une des politiques de certificat indiquées. Les règles
d'une politique particulière peuvent exiger que le système utilisant des
certificats traite d'une manière particulière la valeur du qualificatif.
Si l'extension est marquée comme non critique, son utilisation ne limite
pas nécessairement l'utilisation du certificat aux politiques figurant dans
la liste. Un utilisateur de certificat peut toutefois exiger la présence
d'une politique particulière pour utiliser le certificat (voir article 10).
Les qualificatifs de politique peuvent être traités ou ignorés au choix de
l'utilisateur de certificat.
-----
Il ne s'agit pas ici du "support" ou non de l'extension, mais de savoir
comment on la traite, puisque même une application sachant traiter
correctement cette extension aura un comportement différent pour cette
extension selon que celle-ci est déclarée critique ou non.
[...]
Ce qui n'empèche qu'il reste plusieurs cas (CRLDP, key usage) où l'on
autorise les applications à ne pas prendre en compte les extension
non-critiques.
On voit donc bien qu'on a besoin d'un drapeau indiquant qu'on veut
renforcer les contrôles...
Mais ce n'est pas vraiment une sémantique différente, c'est plutôt faire
comme si l'extension était totalement inconnu, ce qui revient à ce que
l'application utilise le certificat sans implémenter l'extension, ce qui
est justement autorisé par le fait qu'elle soit non critique.
C'est en contradiction avec le §7 (là encore, à mon sens). Une application
reconnait ou ne reconnait pas une extension, mais cette reconnaissance ou
non ne doit pas dépendre d'un drapeau contenu dans cette extension. Dit
autrement, une application ne peut pas (comprendre: ne devrait pas)
choisir de traiter ou pas une extension selon que ça l'arrange ou pas...
Sinon, tu imagines ce que ça peut faire sur d'autres extensions, comme le
basicConstraints par exemple. D'ailleurs, la description de cette dernière
extension interdit à une application qui la reconnait de faire comme si
elle ne la reconnaissait pas si elle était déclarée non critique (je sais,
c'est tordu comme phrase).
On a donc bien une différence de sémantique
pour le certificatePolicies en fonction du drapeau critique.
Par ailleurs, les RFC du PKIX sont un profile de la norme ANSI.
C'est dit où?
Quand on compare la RFC et la norme sur certains points, on se dit qu'en
tant qu'implémenteur, on doit faire un choix, on ne peut pas être
totalement conforme aux deux.
Et je trouve que les travaux de PKIX ne sont
pas suffisamment 'argumentés', il n'y a pas de cadre pour appuyer certains
choix, ce qui donne l'impression de quelque chose de mal ficelé.
Le site http://oid.elibel.tm.fr offre à ce jour la description de
72657 OID, soit *19* fois plus que le site d'Alvestrand qui n'est
plus
mis à jour depuis longtemps, me semble-t-il. La base d'Harald
Alvestrand a été incluse dans notre site avec son accord (elle
contenait 3781 OID au moment de l'intégration) et quelques erreurs
détectées ont été corrigées.
Et cette intégration a eu lieu quand?
Je vois maintenant des références à
elibel.tm.fr quand je parcours la base d'Alvestrand que je n'avais
pas
remarqué avant.
J'ai vu que tous les OID du SET y sont également. Par contre, je
n'ai pas
vu/compris comment ajouter des commentaires ou informations. Je suis
bigleux?
Il est prévu que ce répertoire d'OID migre sur le site de l'UIT
(et
acquiert un caractère plus officiel) avant la fin de cette
année.
C'est vrai que ça manquait. Un répertoire officiel, ça évite les
doublons
(2 OIDs pour un même 'objet' théorique).
de site officiel du groupe de travail. Mais ça semble être le
seul
site qui rassemble autant d'information sur la technologie ASN.1.
Il me reste à trouver un bon parseur XER, pour contenter à la fois
mes
collègues web-addicted qui ne jurent que par XML et ... ben
seulement moi,
qui préfère largement de l'ASN.1 bien formé et du binaire compact.
J'ai vu
qu'il y a aussi des ressources par chez vous sur ce sujet.
Le site http://oid.elibel.tm.fr offre à ce jour la description de
72657 OID, soit *19* fois plus que le site d'Alvestrand qui n'est
plus
mis à jour depuis longtemps, me semble-t-il. La base d'Harald
Alvestrand a été incluse dans notre site avec son accord (elle
contenait 3781 OID au moment de l'intégration) et quelques erreurs
détectées ont été corrigées.
Et cette intégration a eu lieu quand?
Je vois maintenant des références à
elibel.tm.fr quand je parcours la base d'Alvestrand que je n'avais
pas
remarqué avant.
J'ai vu que tous les OID du SET y sont également. Par contre, je
n'ai pas
vu/compris comment ajouter des commentaires ou informations. Je suis
bigleux?
Il est prévu que ce répertoire d'OID migre sur le site de l'UIT
(et
acquiert un caractère plus officiel) avant la fin de cette
année.
C'est vrai que ça manquait. Un répertoire officiel, ça évite les
doublons
(2 OIDs pour un même 'objet' théorique).
de site officiel du groupe de travail. Mais ça semble être le
seul
site qui rassemble autant d'information sur la technologie ASN.1.
Il me reste à trouver un bon parseur XER, pour contenter à la fois
mes
collègues web-addicted qui ne jurent que par XML et ... ben
seulement moi,
qui préfère largement de l'ASN.1 bien formé et du binaire compact.
J'ai vu
qu'il y a aussi des ressources par chez vous sur ce sujet.
Le site http://oid.elibel.tm.fr offre à ce jour la description de
72657 OID, soit *19* fois plus que le site d'Alvestrand qui n'est
plus
mis à jour depuis longtemps, me semble-t-il. La base d'Harald
Alvestrand a été incluse dans notre site avec son accord (elle
contenait 3781 OID au moment de l'intégration) et quelques erreurs
détectées ont été corrigées.
Et cette intégration a eu lieu quand?
Je vois maintenant des références à
elibel.tm.fr quand je parcours la base d'Alvestrand que je n'avais
pas
remarqué avant.
J'ai vu que tous les OID du SET y sont également. Par contre, je
n'ai pas
vu/compris comment ajouter des commentaires ou informations. Je suis
bigleux?
Il est prévu que ce répertoire d'OID migre sur le site de l'UIT
(et
acquiert un caractère plus officiel) avant la fin de cette
année.
C'est vrai que ça manquait. Un répertoire officiel, ça évite les
doublons
(2 OIDs pour un même 'objet' théorique).
de site officiel du groupe de travail. Mais ça semble être le
seul
site qui rassemble autant d'information sur la technologie ASN.1.
Il me reste à trouver un bon parseur XER, pour contenter à la fois
mes
collègues web-addicted qui ne jurent que par XML et ... ben
seulement moi,
qui préfère largement de l'ASN.1 bien formé et du binaire compact.
J'ai vu
qu'il y a aussi des ressources par chez vous sur ce sujet.
