• [^] # Re: J'espère que c'est vrai...

    Posté par . En réponse au journal Encryptons. Évalué à 3.

    Je suppose que IdenTrust est lui soumis à ces contrainte

    Oui.

    qui doivent précisément définir dans quelles circonstance il peut autoriser de CA intermédiaires

    Non, il n’y a aucune contrainte de ce genre. Chaque CA racine est libre de signer des sous-CA comme bon lui semble.

    et quelles contraintes ces CA intermédiaires doivent respecter.

    Oui. Les CA intermédiaires DEVRAIENT (SHALL, au sens du RFC 2119) respecter les consignes du CA/Browser Forum (les mêmes que celles qu’on demande aux CA racines).

    Sauf que, à la différence des CA racines qui doivent prouver aux éditeurs de navigateurs leur conformité à ces consignes, les CA intermédiaires n’ont pas à justifier de quoi que ce soit auprès de qui que ce soit.

    En particulier, les CA racines n’ont aucune obligation de vérifier que les CA intermédiaires qu’elles signent respectent ces consignes, sauf dans le cas très particulier des CA intermédiaires dites « techniquement contraintes ».

    (Une CA intermédiaire « techniquement contrainte » est une CA dont le certificat limite explicitement, par le biais d’une extension X.509v3 Name Constraints, les noms pour lesquelles elle est autorisée à émettre des certificats. À ma connaissance, cette possibilité de limiter le champ d’action d’une sous-CA n’est quasiment pas utilisée — le seul cas que j’ai jamais vu était une sous-CA signée par le ministère américain de la défense, qui lui avait interdit de signer des noms en .mil.)